TWI502947B - New cryptographic system and method based on mismatching - Google Patents
New cryptographic system and method based on mismatching Download PDFInfo
- Publication number
- TWI502947B TWI502947B TW102112925A TW102112925A TWI502947B TW I502947 B TWI502947 B TW I502947B TW 102112925 A TW102112925 A TW 102112925A TW 102112925 A TW102112925 A TW 102112925A TW I502947 B TWI502947 B TW I502947B
- Authority
- TW
- Taiwan
- Prior art keywords
- matrix
- key
- distribution
- elements
- user
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3093—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/34—Encoding or coding, e.g. Huffman coding or error correction
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Complex Calculations (AREA)
Description
本發明涉及密碼系統設計,尤其是,金鑰交換系統(KE),金鑰分配系統(KD)和基於身份的加密系統(IBE),本質上都是基於相同的數學原理,即有錯配對原理。
在現代通信系統中,如互聯網、手機等,出於對通信資訊保密性的考慮,我們需要對資訊進行加密。目前有兩種不同的加密方法。第一,用對稱密碼系統加密資訊,此時,發送方用於加密的金鑰與接收方用於解密的金鑰相同。對稱密碼系統要求發送方和接收方有一個安全的管道來交換共用金鑰。在開放的通信管道中,沒有可信的協力廠商來交換金鑰,例如無線通訊,所以需要用某種方法在開放的管道中交換金鑰。此外,在一個有中央伺服器的系統中,如電話公司的手機服務系統,需要一個有效的和可以擴展的金鑰分配系統,使得任意兩個用戶都可以利用中央伺服器所建的金鑰分配系統獲得一個共用金鑰。因此,建立安全有效的金鑰交換系統和金鑰分配系統是十分重要和必要的。第一個金鑰交換系統由Diffie和Hellman[DiHe]提出的,該系統的安全性受到離散對數問題的影響。Shor[SHO]的工作表明,該系統可以被將來的量子電腦攻破。目前有許多金鑰分配系統,包括利用二次型對的金鑰分配系統[BSHKVY]和基於橢圓曲線上的雙線性型對的金鑰分配系統,美國專利號為:7,590,236。但是,現有的系統都存在計算效率或可擴展性方面的問題,如基於橢圓曲線上的雙線
性型對的金鑰分配系統的計算效率很低。
第二,利用非對稱密碼系統,即公開金鑰密碼系統加密;此時,接收方有一組公開金鑰和一組私密金鑰,但發送方只有公開金鑰;發送方利用公開金鑰加密資訊,接收方利用私密金鑰解密資訊,只有私密金鑰擁有方才能解密資訊。在通常的公開金鑰系統中,我們需要認證公開金鑰,因此每一個公開金鑰需要有一個認證證書,即一個由可信的權威中心提供的數位簽章。證書用來確認公開金鑰是否屬於合法的使用方,即資訊接收方。為了讓公開金鑰加密系統完全可用,我們需要一個稱為公開金鑰基礎設施的系統,即PKI。
1984年,Shamir提出了另外一種公開金鑰加密系統[SHA];在此密碼系統中,一個人或實體的公開金鑰,由一個能夠唯一識別個人或實體的資訊的公開演算法生成;例如,對一個人來說,這些資訊可能包括姓名、住址、生日、指紋資訊、電子郵箱、社會安全號等。由於公開金鑰是由可以識別的個人資訊決定的,所以這類公開金鑰密碼系統被稱為基於身份的加密系統(IBE)。
基於身份的公開金鑰加密系統並不多,目前最優秀的正在使用的是Boneh和Franklin發明的基於橢圓曲線上的雙線性型對的基於身份的加密系統,美國專利號為:7,113,594;在基於身份的加密系統中,發送方用基於接收方身份的公開金鑰加密資訊。接收方用其私密金鑰解密資訊。接收方從一個中央伺服器獲得私密金鑰,其中中央伺服器有一個生成和分配私密金鑰給合法使用者的系統IBE。基於身份的IBE系統不需要發送方搜索接收方的公開金鑰,發送方利用鑒別接收者身份的資訊,如電子郵箱、身份證號或其他資訊等,從基於身份的加密系統中可獲得任意接收者對應的公開金鑰;現有的基於身份的加密系統較複雜,且計算效率不高;並且
這些基於橢圓曲線上的雙線性型對的加密系統也可被量子電腦攻破;此外,還有一些基於格理論的構造如[ABB]、[ABVVW]、[BKPW],但在實際應用中,這些都是相當複雜的系統。因而設計安全有效的基於身份的加密系統是十分重要和必要的。
顯然,在實際應用中,我們仍然需要更有效和更安全的KE,KD和IBE系統。
本發明首次提出了一種用於開放管道中新的安全的金鑰交換方法,即AB兩種方法執行金鑰交換。本發明基於用不同的方法計算相同的雙線性型,其中每種不同的計算方法都會產生少量錯誤;在金鑰交換過程中,交換雙方A,B各自選擇一個私密金鑰矩陣SA
,SB
其中矩陣的元素是小的且服從某種保密的錯誤分佈,然後任意選擇一個公共矩陣M。金鑰交換雙方用各自的私密金鑰矩陣與公共矩陣M相乘,但計算過程會產生一些錯誤,交換相乘後的矩陣,用基於M的同一個雙線性型,但使用兩種不同的計算方法,並加入一些錯誤,計算一對SA
,SB
的配對。這種數學計算被稱為有錯配對;共用金鑰來自於有錯配對;此方法可以看做錯誤學習思想的拓展,該思想在2005年被Regev發現[Reg];本系統的安全性依賴於某個可用數學證明的格問題的複雜性(hardness)[DiLi];本系統只涉及矩陣乘法,因而計算效率極高本系統還可以抵禦將來的量子電腦攻擊。
本發明的第三項內容包括建立基於身份的加密系統的新方法;在本系統中,中央伺服器或權威機構以矩陣Ai
的形式分配給每個用戶一個公共的ID,或者以矩陣Ai
的形式為每個用戶建立一個ID,其中Ai
的元素較小並服從某種錯誤分佈,這些錯誤資訊可以識別唯一唯一的所有者;系統給每個使用者一個私密金鑰Si
,私密金鑰是由ID矩陣與系統金鑰矩陣S
(有錯)相乘而得,而這裡的錯誤矩陣與系統公開金鑰矩陣M相關。中央伺服器或權威機構通過M和S相乘建立另一個金鑰M1
,其中矩陣相乘時加入一些錯誤;任意一個用戶希望發送給另一個用戶i一個資訊,可以計算使用者i的公開金鑰,用戶i的公開金鑰由M和矩陣對M和Ai
有錯組成;然後用基於MLWE問題的加密系統加密資訊,使用者i用金鑰Si
解密信息;此方法可以看為錯誤學習思想的拓展,該思想在2005年被Regev發現[Reg];本系統的安全性依賴於某個可用數學證明的格問題的複雜性[DiLi];本系統只涉及矩陣乘法,因而計算效率極高。本系統還可以抵禦將來的量子電腦攻擊。
在本發明的構造中,可以用格理想的元素代替矩陣,我們還可以利用其他捨入技術。本系統可以以分散式的方式使多個伺服器同時服務,即建立分散式的KD和IBE系統。
總之,我們用相同的數學原理建立安全有效的KE,KD和IBE系統,該原理可以看成LWE問題的擴展。
雖然本發明是用具體的實例描述的,但是顯然對那些熟悉密碼學技術的人來說,可以很容易根據我們的具體實例變型、替換和修改;因此本文檔裡的實例僅僅是示範性的,本發明並非局限於此,各種在本發明的設計思路範圍內的變化都在本發明的優先權請求之內;本發明基本基於在2012年4月12日提交的美國臨時專利申請;專利申請的題目為安全通信和安全資訊系統的新方法,序號:61623272,只增加了技術細節。
關於錯誤學習理論問題,2005年Regev在其註冊[Reg]中有
介紹,在環上的錯誤學習理論(RLWE)問題[LPR]是錯誤學習理論問題的拓展,上述理論被廣泛的應用於密碼學設計,其安全性能夠得到證明。主要原因在於所述錯誤學習理論問題可以歸結為某個最壞情形的格上的問題,因而可用於密碼設計。
LWE問題描述如下,首先,有一個參數n,一個係數q,q個元素的有限環或有限域Fq
上的錯誤概率分佈為k。為簡單起見,不妨設q是奇素數,但通過微小的變更,本發明可用於其他整數。
在Fq
中,元素可用集合{-(q-1)/2,..,0,...,(q-1)/2}描述。錯誤分佈是以很高的概率選擇Fq
中較小數的概率分佈。有很多此類分佈選擇,所述分佈選擇直接影響系統的安全性。我們選擇一個優秀的錯誤概率分佈使得系統正確、安全的工作。
令ΠSκ
為Fq
上的一個概率分佈,此分佈通過以下方式獲得:從中任意選擇A,然後再從Fq
中按照分佈κ選擇元素e,最後得到(A,<A,S
>+e
),其中“+”指所述Fq
上的加法運算。對任意的S和ΠSκ
任意獨立樣本,解決關於q和分佈κ的LWE問題的演算法以很高的概率輸出S。
為了證明基於LWE問題的密碼設計的安全性,設q是關於n的特殊多項式函數,記為q(n);設κ是一個離散的正態分佈,期望為0,標準差為σ=αq,將此分佈另記為κσ
。的元素表示為[-(q-1)/2,(q-1)/2)]中的整數。
在基於LWE問題的原始加密系統中,一次只能加密一位元,因此該系統是相當低效率且金鑰很大,為了進一步改進基於LWE問題的密碼系統的效率,文獻LPR提出了基於多項式環Fq
[x]的商環LWE問題,即RLWE環問題。在基於RLWE問題的密碼系統中,所述密碼系統的安全性
歸結為格問題複雜性的子類問題,用理想的格類代替通常的格。
隨後,文獻[ACPS]提出了新型的LWE問題。這種新型LWE問題是基於LWE問題的。我們用m×n矩陣A代替向量A,S是n×1矩陣,使得矩陣乘法A×S相容。e也用m×1矩陣代替。系統在q個元素的有限域中工作。
例如,設A是n×n方陣,S和e是n×1矩陣。
令是Fq
上的概率分佈,任意選擇一個n×n矩陣A,矩陣A的元素屬於Fq
,以某種錯誤分佈κn
任意選擇e的元素,其中e是n×1矩陣。例如,每個元素分別按照錯誤分佈κ任意選擇,輸出(A,A×S+e),其中“+”指的是Fq
上的加法運算。這是一個解決關於q和錯誤分佈κ的LWE問題的演算法,如果對任意的S和任意獨立取樣,則會以很高的概率輸出S。
如果S的元素較小,且S的元素獨立地按照錯誤分佈κn
選擇,這種情況稱為SLWE問題。如果A為對稱矩陣,則稱為小對稱LWE問題,即SSLWE。如果秘密矩陣S的元素是從-z,…,0,1,…,z中任意獨立地選擇的,其中z是小正整數,這種情況稱為均勻小LWE問題,即USLWE問題。
在實際應用中,S和e的元素可以用不同的分佈選擇。
由[ACPS]的結果可知,如果金鑰S和e的元素根據同一個LWE錯誤分佈κσ
獨立選擇,那麼解決對應的LWE問題的複雜性與解決任意選擇金鑰S的LWE問題的複雜性相同。這意味著解決SLWE問題的複雜性與解決與之相對應LWE問題的複雜性相同。RLWE問題的情形與上述情況基本相同,如果能夠解決金鑰元素比較小的環上的LWE問題,那麼也能解決對應的LWE問題。
根據上述事例,可以進一步將此問題擴展到矩陣的形式。
令為Fq
上的概率分佈,此分佈通過以下方式獲得,任意選擇一個n×n矩陣A,陣A的元素屬於Fq
,任意選擇n×n矩陣e,e的元素屬於Fq
且服從分佈。例如,每個元素分別按照錯誤分佈κ任意選擇。輸出(A,A×S+e),其中“+”指的是上的加法。一個解決關於q和錯誤分佈的LWE問題的演算法,如果對任意的n×n矩陣S和為任意獨立取樣,則會以很高的概率輸出S。
令矩陣形式的LWE問題為MLWE。如果S的元素較小,S的元素獨立地按照錯誤分佈選擇,我們稱之為小矩陣MLWE問題,記為SMLWE。如果在上述基礎上,A為對稱矩陣,則此類問題為小對稱MLWE問題,記為SSLWE。如果秘密矩陣S的元素是從-z,…,0,1,…,z(中任意獨立地選擇的,z是小正整數,則此類問題為均勻小MLWE問題,記為USMLWE。所述MLWE問題即為n個LWE問題的疊加,然後以矩陣形式共用金鑰。因此它與對應的LWE問題的複雜性性相當。
對於S和e元素的選擇,我們可以選擇不同的錯誤分佈。
這個設計的一個數學原理是矩陣乘法的結合律,即對矩陣A,B,C,有A×B×C=(A×B)×C=A×(B×C);從數學的角度,這可看成矩陣A得的行向量與矩陣C的列向量的雙線性對的計算。對於以某種錯誤分佈選擇的元素較小的矩陣A和B,我們不是直接相乘,而是按以下步驟計算,首先計算AB+Ea
:然後計算
(AB+EA
)C或者(AB+EA
)C+EAC
;或者計算BC+EC
;最後計算A(BC+EC
)或者(AB+EA
)C+EBC
;其中EA
,EB
,EAC
,EBC
是元素較小的矩陣,選擇矩陣的錯誤分佈可以相同也可以不同。我們有兩種不同的方式計算矩陣乘法ABC,計算時產生少量錯誤。我們稱此為有錯配對計算。我們的所有設計都基於有錯配對,而且事實上,如果A和C的元素較小,那麼任意兩個不同的配對均相近。
可以證明,MLWE問題的複雜性與對應的LWE問題的複雜性相同。這是本設計可證明其安全性的基礎。
基於有錯配對的新的金鑰交換系統的設計,如下所示。
在開放的通信通道中,Alice和Bob進行一次金鑰交換。在本次操作中,Alice和Bob的通信通道對任何人開放,包括惡意的攻擊者。假設,本節中的所有矩陣都是n×n方陣。在實際應用時,矩陣不必是方陣,但必須保證所選矩陣的行列數允許其相乘。
金鑰交換的詳細步驟如下:
(1)Alice和Bob首先公開Fq
,n和在Fq
上的任意矩陣M,其中q是關於n的多項式,例如qn3
,錯誤分佈是關於Fq
上的n×n矩陣的錯誤分佈,例如每一個部分錯誤分佈與LWE情形時的離散錯誤分佈κσ
相似,即Fq
上的中心為零方差為的離散正態分佈。再選擇並公開小素數t(t≪n)。以上所有資訊均處在公開情況下。
(2)雙方按照錯誤分佈選擇n×n金鑰矩陣Si
(i=A,B)和ei
。
Alice計算MA
=MSA
+teA
;其中t是小整數(t≪n)。
Bob計算MB
=Mt
SB
+teB
;
(3)雙方在開放通道中交換矩陣Mi
。這意味著Mi
(i=A,B)是公開的,但Si
和ei
(i=A,B)是保密的。
(4)Alice計算:
Bob計算:
(5)雙方運用捨入技術獲得共用金鑰:
(a)Bob將KB
在[-(q-1)/4,(q-1)/4]中的元素的位置列出,記為T1
,將KB
不在[-(q-1)/4,(q-1)/4]中的元素的位置列出,記為T2
。然後將表T1
發送給Alice。
(b)對表T1
的數,雙方都計算它們除以t的餘數;對表T2
的數,加上(q-1)/2後在[-(q-1)/4,(q-1)/4]中計算它們除以q的餘數,然後再模t,這樣雙方可以得到共用金鑰。
Alice和Bob可以通過KA
,KB
和捨入技術交換金鑰的原因在於:ei
和Si
的元素較小,從而導致KA
,KB
相近。我們稱這樣的金鑰交換系統為SMLWE金鑰切換式通訊協定。我們還可以證明這個有效的系統的
安全性[Dili]。
本系統的通信功能和計算效率很優秀。雙方只需要交換Fq
上的n2
個元素,利用Strassen快速矩陣乘法進行大約2n2.8
次計算,如果t=2,就得到n2
位bit輸出。
對於S和e元素的選擇,同樣可以選擇不同的分佈。
可以證明,如果選擇相同的系統參數n和q和選擇恰當的錯誤分佈,矩陣SLWE金鑰切換式通訊協定是可被證明其安全性的[DiLi]。證明基於有錯配對問題的困難性。
假設給定:(1)n×n矩陣M,素數q,小正整數t,錯誤分佈κn
;(2)M' A
=MS' A
+teA
,M' B
=MS' B
+teB
,其中ei
是n×1向量,其元素服從錯誤分佈κn
,Si
是n×1向量,其元素服從相同的分佈;已知
是否屬於[-(q-1)/4,(q-1)/4];問題在於尋找一個演算法使得下面等式成立;K' A
=(S' A
)t
×MB
=(S' A
)t
Mt
S' B
+t〈S' A
,eB
〉其中,如果K' B
的元素屬於[-(q-1)/4,(q-1)/4]時,模t,否則K' A
+(q-1)/2首先模q,然後再模t,這種問題被稱為有錯配對問題(PEP)。
安全性證明基於以下事實:SMLWE問題的複雜性與SLWE問題相同,事實上矩陣版本的SLWE問題實例可看為一組SLWE問題的疊加。
特別的,如果選擇的矩陣對乘法運算相容,那麼可以選擇長方矩陣設計系統,但是必須選擇恰當的參數確保系統安全。
同理,根據文獻[LNV]對RLWE問題的描述,可以建立基於環錯誤問題的金鑰交換系統(RLWE)[LPR]。
有關RLWE問題,我們考慮環,,其中f(x)是 Z
[x
]上的n次多項式, Z
為整環,q是素數;若q是奇素數,則Z q
=Fq
=的元素表示為-,...,-1,0,1,..,,即可看成 Z
的元素。R q
的元素可以表示為n-1次單變數多項式,或該多項式係數向量。對R q
的元素a(x)=a0
+a1
x+…+an-1
xn-1
,定義向量(a0
,a1
…,an-1
)的範數l∞
為:∥a∥=max|ai
|向量(a0
,a1
…,an-1
)可以看成Z n
的元素,ai
可看成 Z
的元素。經過微小的修改,q為偶數的情形與奇數的情形相似
RLWEf,q,χ
問題的參數:次數為n的多項式f(x),素數q,R q
上的錯誤分佈χ
。RLWEf,q,χ
問題定義如下。
RLWEf,q,χ
問題是給定任意多項式實例,s是R q
的元素;(ai
,bi
=ai
×s+ei);求R q
的元素s的值。其中ai R q
,ei
的選擇服從錯誤分佈χ
。
RLWEf,q,χ
問題的複雜性基於bi
在計算上的不可區分性。根據文獻[LPR],可以證明解決RLWEf,q,χ
問題可歸結為用量子電腦解決相關參數的短向量問題。我們相信即使是量子電腦,解決某些格問題時的複雜程度也是指數增長的。
根據文獻[ACPS]和[LPR],RLWEf,q,χ
問題等價於一種變型,在這種變型中,s的選擇服從錯誤分佈χ
,而不是從R q
中任意選擇,錯誤元
素ei
乘以某個小整數t。
為了證明所述RLWE問題的安全性,需要考慮RLWE問題的特殊參數選擇。
(1)選擇f(x)為割圓多項式xn
+1,其中n=2u;(2)錯誤分佈χ
是離散的高斯分佈,σ,其中n≫σ>ω()>1;(3)q=1(mod 2n),q是關於n的多項式,qn3
;(4)t是小素數且t<<n
<<q
。對於某些特別的應用,也可以選取其他特殊的參數。
在金鑰交換系統RLWEf,q,χ
中,有兩個必不可少的要素,
(1)向量在標準差為σ的離散高斯分佈的長度的上界為σn,即對分佈χ
的任意樣本,有Pr(∥X∥)>σn 2-n+1
。
(2)環R q
上的乘法被界定在合理的範圍內,即對X,Y R q
,有∥X×Y(mod f(x))∥n∥X∥∥Y∥,其中範數l∞
定義如上。
RLWEf,q,χ
系統環境如上,Alice和Bob在開放通道交換資訊步驟如下:
(1)Alice和Bob首先公開RLWEf,q,χ
的所有參數:qn3
或者關於n的多項式、n、f(x)、χ。並公開從R q
中任意選擇的元素M。
(2)雙方按照錯誤分佈選擇自己的金鑰si Rq
,按照錯誤分佈獨立選擇ei Rq
,但是加入一個小素數t(t<<n)Alice計算,MA
=SA
MSA
+teA
其中t是小素數(t≪n)。Bob計算
MB
=SB
M+teB
;
(3)雙方交換Mi
。這意味著Mi
是公開的,但si
和ei
必須保密.
(4)Alice計算:
Bob計算:
(5)雙方應用捨入(rounding)技術共用金鑰,具體過程如下:(a)Bob建立一張長為n的表,表格由(i,j)組成,其中i=0,...,n-1,如果KB
的xi
的係數在集合[-(q-1)/4,(q-1)/4]中,那麼j=1,否則,j=0;(b)Bob將建立的表格發送給Alice。雙方計算表格(i,j)元素對應KA
和KB
的元素除以t的餘數如下:1)如果j=1,則分別計算KA
和KB
第i個元素模t;2)如果j=0,則KA
和KB
第i個元素首先加上(q-1)/2,然後模q,使得第i個元素在集合[-(q-1)/4,(q-1)/4之中,最後模t。
Si
和ei
可以使用不同的分佈。
雙方可以通過上述方法共用金鑰。此系統稱為RLWE金鑰交換系統。此系統可以將金鑰交換失敗的概率降到很低。環R q
的交換律和結合律對本系統的設計十分重要。
在安全性分析方面,可以證明RLWEf,q,x
問題的安全性與R q
環上的PEP問題相似,本系統是安全的。
假設給定:‧MRq
,素數t,q和錯誤分佈χ,分佈參數與RLWEf,q,χ
相同;‧MA
=+和MB
=+,其中ei
和si
服從錯誤分佈χ
;‧已知KB
=MA
×SB
=SA +teA
SB
的xi
的係數是否在[-(q-
1)/4,(q-1)/4]之中;環上的有錯配對的問題(RPE),即找到某種演算法以高概率計算KB
(或KA
)模t或者KB
+(q-1)/2(或KA
+(q-1)/2)模q再模t。
基於RLWEf,q,χ
問題的複雜性的RLWE金鑰交換系統的安全性是可以證明的,證明方法與SLWE金鑰交換系統相似。
對相同的參數q和n本系統十分有效,因為可以用環R q
上FFT型演算法快速進行乘法運算。
基於有錯配對的新的金鑰分配系統的設計:在大型網路中,怎樣給合法的用戶分配金鑰是一個關鍵的問題。通常,建立一個真正有效且可擴展的金鑰分配系統是十分困難的。例如,在文獻[BSHKVY]中提出的金鑰分配系統,本質上,中心伺服器的主金鑰是一個n×n對稱矩陣M,用戶的認證可以看成n個元素的行向量Hi
。中心伺服器給每個用戶一個金鑰HI
×M。兩個用戶之間可獲得共用金鑰HI
×M×。M的對稱性質使得
但是,大量的用戶可以合作,從而獲得主金鑰。但是如果非法用戶能夠收集到足夠多(n個)的Hi
×M。那麼非法用戶也能得到主金鑰M,從而將系統攻破。
我們可以建立一個基於有錯配對的真正可擴展的金鑰分配系統,此系統可看成是LWE思想的綜合。
本系統建立在有限域Fq
上,其中Fq
的元素可以表示為-(q-1)/2,...,0,...,(q-1)/2。令qn^3或者q是其他關於n的多項式函數,令是n×n矩陣空間上的錯誤分佈。例如,每個部分都服從κσ
分佈的聯合分佈,其中κσ
為前述LWE中的離散分佈,即期望為0,標準差約
為n^1/2
的離散正態分佈。分佈的參數可以更改。
金鑰分配系統建立步驟如下:
(1)中央伺服器選擇一個主金鑰n×n矩陣S,矩陣的元素屬於Fq
,且S=St
。
(2)對每個用戶i,中央伺服器分配一個矩陣Ai
,通常為非對稱矩陣,作為用戶ID矩陣,矩陣Ai
服從錯誤分佈。ID矩陣是公開的,它也可以由能夠識別客戶的唯一資訊,如電子郵箱、姓名等生成。
(3)對每個用戶,伺服器分配一個安全的金鑰:Ei
=Ai
S+tei,其中ei
是一個非對稱矩陣且服從錯誤分佈。這部分為客戶保密。
兩個用戶i和j想獲得共用金鑰,必須比較兩個ID矩陣的大小。則用戶i計算:
用戶j計算:
因為ID矩陣是公開的,所以此步驟能夠實現。可以通過以下步驟獲得共用金鑰。
‧當用戶j想和用戶i建立共用金鑰時,用戶j選出Kj
在集合(-(q-1)/4,(q-1)/4)中的所有元素,包括它們在矩陣的位置,並且,在集合中的元素標記為1,不在集合中的元素標記為0。然後用戶j把這些元素的位置以表格的形式發送給使用者i,此時不發送元素值。用戶i按照接收到的表格,從自己的矩陣Ei
×Ai
中選出表格對應位置的元素。於是用戶i和j擁有了同一張表格,即矩陣元素的位置,從而也可以知道自己的矩陣中對應的元素。對於標記為1的元素,雙方計算對應元素除以t的餘數;對於標記為0的元素,雙方
用該元素加上(q-1)/2後再模t。從而得到共用金鑰。
由於S是對稱矩陣,所以有
因而對用戶j,可得
兩個用戶計算上的不同點在於:
兩者的不同是很小的,這是因為t是很小的,且和也是很小的,事實上ei
,ej
Ai
和Aj
全是很小的。再通過捨入技術,我們能夠給用戶i和j共同的金鑰,從而建立金鑰分配系統。
因為矩陣tei
Aj
和的錯誤項很小,Ai
SAj
中標記為1的元素幾乎全部屬於[-(q-1)/4,(q-1)/4]。因而錯誤項不會導致Ai
SAj
的元素值超出(-(q-1)/2或(q-1)/2),即加上錯誤項後,仍然不需要模q元素。標記為0的情況也一樣。這就確保雙方可以共用金鑰。
從Ki
,Kj
的構造可知,Ki
和Kj
的元素服從均勻分佈。用戶j每次根據矩陣Kj
構造的表格長度達n2
。因而如果適當選擇n,本系統能提供足夠的共用金鑰位。
特別的,也可以構造非對稱矩陣情形的金鑰分配系統,此時,伺服器需要多計算一些矩陣,如Ai
S+e和+e'
。因此,非對稱矩陣情形的金鑰分配系統效率沒有對稱的情形高。
另外,因為環中的一個元素可以視為環的同態,所以RLWE問題可以看成基於矩陣的LWE的特殊版本,所以我們可以用相同的方式通
過RLWE建立金鑰分配系統。
本金鑰分配系統擁有可擴展性;顯然,每個用戶都有Ai
和Ei
=Ai
S+tei
對,許多用戶通過合作可以得到許多對,恢復主金鑰矩陣S就是要解決對應的MLWE問題,但是,主金鑰矩陣S為對稱矩陣的情況除外。因為給定一個LWE問題,通過對稱矩陣,我們可以將它轉化為MLWE問題,所以不難證明MLWE問題於LWE問題的複雜性相同。所以本系統是可擴展的。
在本系統的安全性證明方面,與文獻[DiLi]的證明方法相似,我們也可以證明本系統是安全的。
綜上所述,因為RLWE可以看成特殊的MLWE,所以我們可以利用RLWE建立十分簡單的金鑰分配系統。
首先選擇環R q
=Fq
[x]/xn
+1。為了保障系統的安全性,必須恰當的選擇參數n,q,例如,n=2k
,q=1mod(2n)[LPR]。對於本系統安全性的證明,我們按照文獻[LPR]來設置參數和錯誤分佈χ
。
本設計基於上述系統。假設,定義了一個環Rq
,且環服從錯誤分佈χ
,則環Rq
上的錯誤學習問題定義如下:給定對(A,E),其中E=A×S+te'
,e'
的元素屬於R且服從錯誤分佈χ
,t是小整數,S是固定元素,A是任意選擇的。環Rq
上的錯誤學習問題就是求S的問題。
對中央伺服器,我們建立簡單的金鑰分配系統如下:
(1)中央伺服器按照均勻分佈從Rq
中任意選擇M;
(2)對每個用戶,中央伺服器分配一個公開的ID Ai
,其中Ai
是Rq
的小元素,即服從錯誤分佈χ
。
(3)中央伺服器給每個用戶一個金鑰:Ki
=Aj
×Si
=Aj
MAi
+tAj
ei
其中ei
服從錯誤分佈χ
。
(4)如果用戶i和j試圖建立共用金鑰,那麼用戶i可以用自身的金鑰和用戶j的ID矩陣Ai
與用戶j建立共用金鑰,為此,用戶i計算Ki
=Aj
×Si
=Aj
MAi
+tAj
ei
;用戶j計算Kj
=Ai
×Sj
=Aj
MAi
+tAi
ej
應用捨入技術,共用金鑰可通過以下方式獲得:
(a)用戶i建立一個長為n的表,表由對(a,b)組成,其中a=0,...,n-1,如果Ki
中xa
的係數在集合[-,裡,那麼b=1,否則b=0。
(b)用戶i將上述建立的表發送給用戶j。對表中的元素(a,b),雙方計算表中的元素對應的Ki
中的元素模t的值如下:1)如果b=1,雙方分別計算Ki
和Kj
的第a個元素模t的值;2)如果b=0,Ki
和Kj
的第a個元素首先加上(q-1)/2,然後模q,使其在[-(q-1)/4,(q-1)/4中,最後將所得值模t。
因為Ai
是ei
環Rq
中的小元素,所以Ai
×ei
仍然很小。因此,保證了可以得到共用金鑰並建立金鑰分配系統。
在金鑰分配的整個過程中,經常依據這一事實:RLWE問題的乘法可交換性。我們構造的系統的特點是:簡單,直接。顯然,它的安全性可以保證。
基於有錯配對的基於身份加密系統的設計:我們首先建立基於MLWE的公開金鑰加密系統。為了建立加密系統,選擇的參數如前述,qn3
或n4
或其它關於n的多項式,錯誤分
佈為,例如,每個部分都服從κσ
分佈的聯合分佈,其中κσ
為前述LWE中的離散分佈,即期望為0,標準差約為的離散正態分佈,為了方便證明安全性,我們也可以選擇高維高斯正態分佈。這一簡單的分佈可以簡述所述密碼系統的有效性。當然,分佈的參數可以更改。
選擇這些參數後,與MLWE情形相似,可以建立加密系統,步驟如下:
(1)選擇n×n矩陣S,使得S的元素服從錯誤分佈,例如,S的每個元素依據分佈κσ
獨立地任意地選擇。
(2)在MLWE環境下,我們可以得到一對輸出(A,E),其中E=A×S+e,或E=A×S+te,且t是小整數,t<<n,這對輸出(A,E)就是系統的公開金鑰,其中e服從某種錯誤分佈,例如前述分佈。
(3)S是系統的私密金鑰。
(4)消息m用n×n矩陣表示,矩陣的元素為0,1或者模t的剩餘類環0,1,...,t-1。
(5)發送者選擇一個n×n矩陣B,矩陣B的選法與S相同,即服從錯誤分佈,例如,B的每個元素依據分佈κσ
獨立地任意地選擇。發送者加密資訊如下:(D1
,D2
)=(B×A+e1
,B×E+e2
+m(q/2)),(D_1,D_2)=(B×A+te_1,B×E+te_2+m),其中e1
和e2
是錯誤矩陣,它們的選擇方式與e相同,即按照某錯誤分佈獨立地任意地選擇。
(6)合法的解密者解密資訊如下:計算
其中每一個運算都在Fq
中進行,矩陣中的每個部分都能夠得到確認。矩陣的元素如果接近0,則輸出0;如果接近(q-1)/2,則輸出1;或者按照實數域上的除法,將矩陣元素除以(q-1)/2,然後四捨五入輸出0或1。最後的輸出就是明文m;在第二種情況下,合法解密者計算
D2
-D1
×S=(BE+te2
+m-(BA+e1
)S)=teE+te2
-te1
S+m然後模t。這樣可得到明文m。
A,B,ei
可以選擇不同的分佈。
對於較大的n,解密成功的概率很高,原因如下:
B×e+e2
-e1
×S可以看成錯誤項,它由任意變數的分佈決定。與KE或KD系統的情況相似,如果選擇恰當的參數,那麼解密成功,我們將得到長為n的明文。第二種情形與此相似。
本加密系統的一大亮點在於加密速度極快,因為在加密解密過程中,我們可以用快速矩陣乘法[CW]。
另外,矩陣乘法不可交換,所以兩個元素相乘時,相乘順序是十分重要的,這一點與RLWE相關系統不同。
使用類似的方法,可以建立環上的LWE的加密系統(RLWE)[LPR],所有元素都在環Rq
中。於是有E=A×S+te,其中,t是小正整數,S服從錯誤分佈。因為
D2
-D1
×S=BE+te2
+m-(BA+t1
e1
)S=B(AS+te)+te2
+m-(BA+te1
)S=tBe+te2
-te1
S+m,所以加密如下:(D1
,D2
)=(B×A+te1
,B×E+te2
+m)。解密如下:(BE+te2
+m-B(AS+te1
))(mod t)。因為錯誤項模t後很小,所以可以肯定,能夠得到明文。
對於MLWE問題,根據需要選擇分佈,使得系統是可證明安全的。
目前,有一些基於格的相關問題(包括LWE問題)的身份加密系統[ABB],[ABVVW],[BKPW]。但是這些系統都是十分複雜的。我們可以利用MLWE建立基於身份的加密系統。
建立一個簡單的基於身份的加密系統如下:
(1)中央伺服器首先選擇一個n×n矩陣S作為主金鑰,其中S的元素是小的並服從錯誤分佈,這與金鑰交換系統和金鑰分配系統相似。
(2)中央伺服器任意選擇一個可逆矩陣M,其中M服從均勻分佈或相似的分佈。如果q足夠大,那麼M可逆的概率就很大,從而可以很容易找的這樣的可逆矩陣。然後中央伺服器計算M1
=MS+te,其中e的元素很小,並服從錯誤分佈。
(3)中央伺服器公開M和M1
作為公開金鑰。
(4)對每一個用戶,中央伺服器分配一個ID矩陣Ai
,其中Ai
的元素很小。並服從錯誤分佈,它可以由能夠識別使用者的資訊生成。
(5)分配給每個用戶一個金鑰:Si
=SAi
+tM-1
ei
,其中ei
的元素是小的並服從錯誤分佈κ。誠然,這相當於給定MSi
=MSAi
+tei
,因為M是公開的。
(7)由於任何人都可以利用ID矩陣Ai
,故中央伺服器可以為擁有ID矩陣Ai
的用戶建立新公開金鑰(Ai
,Bi
),其中Ai
=M,Bi
=M1
Ai
=MSAi
+teAi
,利用此公開金鑰和MLWE加密系統就可以加密任何資訊。此即為矩陣上的基於身份的加密系統。
S,Ai
,ei
,e可以服從不同的分佈。
因為Ai
和e的元素較小,所以Ai
×e的元素也是小的。此外我們還有MSi
-Bi
=M(SAi
+tM-1
ei
)-MSAi
-teAi
=MSAi
+tMM-1
ei
-MSAi
-teAi
=tei
-teAi
,因為S,Ai
,ei
的元素較小,所以ei
-eAi
和tei
-teAi
的元素也是小的。因此,對於MLWE問題的輸入對(Ai
,Bi
),Si
是MLWE問題的解。所以Si
是金鑰,從而可以用來加密。最後,必須選擇恰當的參數確保系統安全。
本系統的特點是簡單,直觀。其安全性的證明也是顯然的。
此設計可以擴展到RLWE問題。我們選擇環Fq
[x]/(xn
+1)。為了確保所述系統安全性,必須選擇恰當的參數,如n=2k
,q=1 mod(2n)[LPR]。當然也可以選擇其他參數。
這個設計直接依賴於RLWE加密系統[LPR],即有一個環R,在環上恰當定義錯誤學習問題如下:對給定的對(A,E),其中E=A×S+te'
,A,S,e'
的元素屬於Rq
且服從錯誤分佈χ
,t是小正整數,S是固定的,A服從均勻分佈,關於環R的錯誤學習問題就是求等式E=AS+te'
,的解的問題。如前所述,我們可以利用RLWE問題[LPR]建立公開金鑰加密系統,其中A和E是公開金鑰,S是私密金鑰,S的元素是小的。我們可以利用環LWE問題上的乘法的可交換性這一事實。
我們建立簡單的基於身份的加密系統如下:
(1)中央伺服器首先從R中選擇S作為主金鑰,其中S的元素是小的且服從錯誤分佈χ
。
(2)中央伺服器任意選擇一個可逆矩陣M,其中M服從均勻分佈或相似的分佈。如果q足夠大,那麼M可逆的概率就很大,從而可以很容易找到這樣的可逆矩陣。然後中央伺服器計算M1
=MS+te,其中e的元素很小,並服從錯誤分佈χ
。
(3)中央伺服器公開M和M1
作為公開金鑰。
(4)對每一個用戶,中央伺服器分配一個ID矩陣Ai
,其中Ai
的元素是Rq
中較小的元素並服從錯誤分佈χ
。
(5)分配給每個用戶一個金鑰:
Si
=SAi
+tM-1
ei
,其中ei
的元素是R中的小元素並服從錯誤分佈χ
。誠然,這相當於給定MSi
=MSAi
+tei
,因為M是公開的。
(6)由於任何人都可以利用ID矩陣Ai
,故中央伺服器可以為擁有ID矩陣Ai
的用戶建立新公開金鑰建立新公開金鑰(Ai
Bi
),其中Ai
=M,Bi
=M1
Ai
=MSAi
+teAi
,利用此公開金鑰和MLWE加密系統就可以加密任何資訊。此即為環上的基於身份的加密系統。
S,Ai
,e,ei
可以選擇不同的分佈。因為Ai
和e的元素是R中的小元素,所以Ai
的元素也是×e也是小元素。又由於環是交換環,我們有Si
Ai
-B=Si
M-Bi
=M(SAi
+tM-1
ei
)-MSAi
-Ai
te=MSAi
+tMM-1
ei
-MSAi
-Ai
te=te-tAi
ei
,因為所述e,Ai
和ei
是小元素,所以ei
-eAi
和tei
-teAi
的元素也是小的。因此,對於MLWE問題的輸入對(Ai
,Bi
),Si
是MLWE問題的解。所以Si
是金鑰,從而可以用來加密。最後,必須選擇恰當的參數確保系統安全。
同樣的方法可以建立一個分層的IBE系統,每個使用者可以作為一個中央伺服器。
本系統的特點是簡單,直接,高效。顯然,能夠證明其安全性。
在上述建立在環的的有錯配對的系統,可以用如下形式的多項式:f(x)=Πfi
(x)+g(x),其中fi
,g(x)是極其稀疏的,只包括少數非零項,如2或3個非零項。利用此類多項式可以提高加密和解密的計算速度。
[ABB]S.Agrawal,D. Boneh,X. Boyen: Efficient Lattice (H)IBE in the Standard Model. In proceedings of Eurocrypt 2010,Lecture Notes in Computer Science,Volume 6110,pp. 553-572,2010.
[ABVVW] S. Agrawal,X. Boyen,V. Vaikuntanathan,P. Voulgaris,H. Wee: Fuzzy Identity Based Encryption from Lattices. IACR Cryptology ePrint Archive 2011: 414 (2011).
[ACPS] B. Applebaum,D. Cash,C. Peikert,A. Sahai;Fast Cryptographic Primitives and Circular-Secure Encryption Based on Hard Learning Problems.Advances in Cryptology-CRYPTO 2009,Lecture Notes in Computer Science,Volume 5677 pp 595-618,2009.
[BKPW] M. Bellare,E. Kiltz,C. Peikert,B. Waters: Identity-Based (Lossy) Trapdoor Functions and Applications. In Proceedings of EUROCRYPT 2012,Lecture Notes in Computer Science,Volume 7237,pp 228-245 2012.
[BSHKVY] C. Blundo,A. De Santis,A. Herzberg,S. Kutten,U. Vaccaro,M. Yung: Perfectly-Secure Key Distribution for Dynamic Conferences. in Advances in Cryptology--Crypto 92,Lecture Notes in Computer Science,Volume 740,pp 471-486,1993.
[BKW] A. Blum,A. Kalai,and H. Wasserman. Noise-tolerant learning,the parity problem,and the statistical query model. Journal of the ACM,50(4),pp506-19,2003.
[COPP] D. Coppersmith,Shmuel Winograd,Matrix multiplication via arithmetic progressions,Journal of Symbolic Computation - Special issue on computational algebraic complexity archive 9 (3),pp 251-280,1990.
[DiHe] W. Diffie,M. Hellman,New directions in cryptography,IEEE Transactions on Information Theory 22 (6),pp 644-54,1976.
[DiLi] J. Ding,X. Lin,A Simple Provably Secure Key Exchange Scheme Based on the Learning with Errors Problem,Cryptology ePrint Archive,Report 688,2012[LNV] K. Lauter,M. Naehrig,V. Vaikuntanathan,Can Homomorphic Encryption be Practical?,Cryptology ePrint Archive,Report 2011/405,2011,http://eprint.iacr.org,
[LPR]V. Lyubashevsky,C. Peikert,O. Regev,On ideal lattices and learning with errors over rings In Eurocrypt 2010.
[REGEV] O. Regev,On lattices,learning with errors,random linear codes,and cryptography,in Proceedings of the 37th Annual ACM Symposium on Theory ofComputing -STOC05,ACM,pp 84-93,2005.
[SHA] A. Shamir,Identity-based cryptosystems and signature schemes,in Advances in Cryptology--Crypto '84,Lecture Notes in Computer Science,Vol. 196,Springer-Verlag,pp. 47-53,1984.
[SHO] P. Shor,Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer,SIAM Journal of Computing 26,pp. 1484-1509,1997.
[STR] V. Strassen,Gaussian Elimination is not Optimal,Numer. Math. 13,p. 354-356,1969.
Claims (18)
- 一種一方A與另一方B在開放的通道中交換金鑰的方法,其特徵在於步驟包括:(1)金鑰交換雙方A和B公開選擇參數n、q小正整數t(t≪n)、Fq 上的n×n矩陣上的一個錯誤分佈,Fq 上的任意n×n矩陣M,其中q是奇素數且是關於n的多項式,如n3 、Fq 的元素可以表示為集合[-,]中的整數;(2)金鑰交換雙方分別按照錯誤分佈選擇私密金鑰n×n矩陣ei (i=A,B)和錯誤矩陣ei (i=A,B);A方計算MA =MSA +teA ;B方計算MB =Mt SB +teB ;(3)雙方在開放通道中交換MA 、MB ;(4)A方計算:
- 一種中央伺服器建立金鑰分配系統,其特徵在於包括:(1)中央伺服器選擇參數n、q小正整數t(t≪n)、Fq 上的n×n矩陣錯誤分佈,Fq 上的任意n×n主金鑰對稱矩陣S,Fq 上的依據錯誤分佈選擇的n×n矩陣M,其中q是奇素數且是關於n的多項式,如n3 、Fq 的元素可以表示為集合[-,]中的整數;(2)中央伺服器給每個用戶i分配一個ID矩陣Ai ,其中ID矩陣的元素是小的且服從錯誤分佈,ID矩陣是公開的;中央伺服器可以利用使用者的資訊生成ID矩陣並確認客戶的身份;(3)中央伺服器分配給每個用戶一個安全金鑰:Ei =Ai S+tei ,其中ei 是一個矩陣,它的元素服從錯誤分佈,而且這部分是為客戶保密的;使用者i和使用者j獲得共用金鑰的步驟包括:首先,比較雙方ID矩陣的大小,假設i<j ,用戶i計算:
- 一種對於中央伺服器,建立基於身份的加密系統,其特徵在於包括:(1)中央伺服器選擇參數n、q小正整數t(t≪n)、Fq 上的n×n矩陣上的一個錯誤分佈,Fq 上依據錯誤分佈選擇的n×n主金鑰矩陣S,其中q是奇素數且是關於n的多項式,如n3 ,主金鑰矩陣S的元素較小且服從錯誤分佈,Fq 的元素可以表示為集合[-,中的整數;(2)中央伺服器任意選擇一個可逆的矩陣M;如果伺服器剛開始選擇的矩陣不可逆,那麼服務器重新選擇矩陣,直到所選矩陣可逆;然後伺服器計算M1 =MS+te,其中e的元素是小的且服從錯誤分佈;(3)中央伺服器公開M和M1 作為公開金鑰;(4)中央伺服器給每個用戶i分配一個ID矩陣Ai ,其中ID矩陣的元素較小 且服從錯誤分佈,ID矩陣是公開的;中央伺服器可以利用使用者的資訊生成ID矩陣;(5)中央伺服器分配給每個用戶i一個金鑰Si =SAi +tM-1 ei ,其中ei 的元素較小且服從分佈κ;(6)伺服器利用IDAi 和伺服器公開金鑰ID為Ai 的用戶建立公開金鑰(Ai ,Bi ),其中Ai =M,Bi =M1 Ai =MSAi +teAi ;任何人都可以利用此公開密鑰加密資訊。
- 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法,其中,所述q是一個2次或2次以上的多項式,錯誤分佈的每部分相互獨立,每部分服從某種分佈如離散錯誤分佈κσ ,即Fq 上期望為0、標準差為的正態分佈,或者其它相似分佈。
- 如請求項2所述的中央伺服器建立金鑰分配系統,其中,所述q是一個2次或2次以上的多項式,錯誤分佈的每部分相互獨立,每部分服從某種分佈如離散錯誤分佈κσ ,即Fq 上期望為0、標準差為的正態分佈,或者其它相似分佈。
- 如請求項3所述的建立基於身份的加密系統,其中,所述q是一個2次或2次以上的多項式,錯誤分佈的每部分相互獨立,每部分服從某種分佈如離散錯誤分佈κσ ,即Fq 上期望為0、標準差為的正態分佈,或者其它相似分佈。
- 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法,其中,所述矩陣和參數可以用三角矩陣和適當參數代替,需保證矩陣可以相乘。
- 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法,其 中,所述矩陣和參數可以用環Rq =Fq [x]/f(x)的元素和適當參數代替,其中f(x)=xn +1。
- 如請求項2所述的中央伺服器建立金鑰分配系統,其中,所述矩陣和參數可以用環Rq =Fq [x]/f(x)的元素和適當參數代替,其中f(x)=xn +1。
- 如請求項3所述的建立基於身份的加密系統,其中,所述矩陣和參數可以用環Rq =Fq [x]/f(x)的元素和適當參數代替,其中f(x)=xn +1。
- 如請求項2所述的中央伺服器建立金鑰分配系統,其中,所述方法的兩個用戶i和j獲得共用金鑰的過程中,i和j的角色可以互換。
- 如請求項2所述的中央伺服器建立金鑰分配系統,其中,可以利用請求項2所述金鑰分配系統的方法,建立多個伺服器的金鑰分配系統。
- 如請求項3所述的建立基於身份的加密系統,其中,可以利用請求項3所述基於身份的加密系統的方法,建立多個伺服器的基於身份的加密系統。
- 如請求項3所述的建立基於身份的加密系統,其中,可以利用請求項所述基於身份的加密系統的方法,建立多層的基於身份的加密系統,每個使用者可描述為下一層的伺服器。
- 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法,其中,所述捨入技術可以用相似的方法代替,比如可以將捨入技術中的區間[-,]做左右稍微移動或將區間稍微變大或變小等,小的改動得到相似的區間來代替。
- 如請求項1所述的一方A與另一方B在開放的通道中交換金鑰的方法,其中,所述矩陣和參數可以用環Rq =Fq [x]/f(x)的元素和適當參數代替,其中f(x)=xn +1使用的多項式元素選擇形式f(x)=Πfi (x)+g(x),其中fi ,g(x)是只有少數非零項的稀疏多項式。
- 如請求項2所述的中央伺服器建立金鑰分配系統,其中,所述矩陣和參數可以用環Rq =Fq [x]/f(x)的元素和適當參數代替,其中f(x)=xn +1使用的多項式元素選擇形式f(x)=Πfi (x)+g(x),其中fi ,g(x)是只有少數非零項的稀疏多項式。
- 如請求項3所述的建立基於身份的加密系統,其中,所述矩陣和參數可以用環Rq =Fq [x]/f(x)的元素和適當參數代替,其中f(x)=xn +1;使用的多項式元素選擇形式f(x)=Πfi (x)+g(x),其中fi 、g(x)是只有少數非零項的稀疏多項式。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201261623272P | 2012-04-12 | 2012-04-12 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201404106A TW201404106A (zh) | 2014-01-16 |
TWI502947B true TWI502947B (zh) | 2015-10-01 |
Family
ID=49327117
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW102112925A TWI502947B (zh) | 2012-04-12 | 2013-04-11 | New cryptographic system and method based on mismatching |
Country Status (6)
Country | Link |
---|---|
US (4) | USRE47841E1 (zh) |
EP (1) | EP2837128B1 (zh) |
KR (1) | KR102116877B1 (zh) |
CN (1) | CN104396184B (zh) |
TW (1) | TWI502947B (zh) |
WO (1) | WO2013152725A1 (zh) |
Families Citing this family (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015184991A1 (en) * | 2014-06-04 | 2015-12-10 | Jintai Ding | Improvements on cryptographic systems using pairing with errors |
US9438422B2 (en) | 2014-06-26 | 2016-09-06 | Intel Corporation | Chaotic-based synchronization for secure network communications |
WO2017041669A1 (en) * | 2015-09-08 | 2017-03-16 | Jintai Ding | Password based key exchange from ring learning with er-rors |
CN105281914B (zh) * | 2015-09-24 | 2018-11-02 | 西安电子科技大学 | 一种基于格密码的秘密握手方法 |
JP7421766B2 (ja) * | 2015-11-13 | 2024-01-25 | バッジ インコーポレイテッド | 公開キー/プライベートキーバイオメトリック認証システム |
KR101880517B1 (ko) * | 2016-11-10 | 2018-07-20 | 서울대학교산학협력단 | Lwe에 기반한 공개키 암호화 방법 |
KR101905689B1 (ko) * | 2016-11-18 | 2018-12-05 | 서울대학교산학협력단 | 공개키를 이용하여 암호화하는 연산 장치 및 그 암호화 방법 |
CN107566121B (zh) * | 2016-11-18 | 2020-03-10 | 上海扈民区块链科技有限公司 | 一类高效的秘密共识方法 |
US10133603B2 (en) | 2017-02-14 | 2018-11-20 | Bank Of America Corporation | Computerized system for real-time resource transfer verification and tracking |
EP3364596A1 (en) * | 2017-02-15 | 2018-08-22 | Koninklijke Philips N.V. | Key exchange devices and method |
CN106685663B (zh) * | 2017-02-15 | 2019-07-19 | 华中科技大学 | 一种环域上误差学习问题的加密方法及电路 |
US10454892B2 (en) | 2017-02-21 | 2019-10-22 | Bank Of America Corporation | Determining security features for external quantum-level computing processing |
US10447472B2 (en) * | 2017-02-21 | 2019-10-15 | Bank Of America Corporation | Block computing for information silo |
US10243976B2 (en) | 2017-02-24 | 2019-03-26 | Bank Of America Corporation | Information securities resource propagation for attack prevention |
US10489726B2 (en) | 2017-02-27 | 2019-11-26 | Bank Of America Corporation | Lineage identification and tracking of resource inception, use, and current location |
US10440051B2 (en) | 2017-03-03 | 2019-10-08 | Bank Of America Corporation | Enhanced detection of polymorphic malicious content within an entity |
US10284496B2 (en) | 2017-03-03 | 2019-05-07 | Bank Of America Corporation | Computerized system for providing resource distribution channels based on predicting future resource distributions |
US10270594B2 (en) | 2017-03-06 | 2019-04-23 | Bank Of America Corporation | Enhanced polymorphic quantum enabled firewall |
EP3373505A1 (en) * | 2017-03-06 | 2018-09-12 | Koninklijke Philips N.V. | Device and method for sharing a matrix for use in a cryptographic protocol |
US10437991B2 (en) | 2017-03-06 | 2019-10-08 | Bank Of America Corporation | Distractional variable identification for authentication of resource distribution |
US10412082B2 (en) | 2017-03-09 | 2019-09-10 | Bank Of America Corporation | Multi-variable composition at channel for multi-faceted authentication |
US11120356B2 (en) | 2017-03-17 | 2021-09-14 | Bank Of America Corporation | Morphing federated model for real-time prevention of resource abuse |
US10440052B2 (en) | 2017-03-17 | 2019-10-08 | Bank Of America Corporation | Real-time linear identification of resource distribution breach |
US11055776B2 (en) | 2017-03-23 | 2021-07-06 | Bank Of America Corporation | Multi-disciplinary comprehensive real-time trading signal within a designated time frame |
US10476854B2 (en) | 2017-04-20 | 2019-11-12 | Bank Of America Corporation | Quantum key distribution logon widget |
US10511591B2 (en) * | 2017-05-08 | 2019-12-17 | Amazon Technologies, Inc. | Generation of shared secrets using pairwise implicit certificates |
US10516543B2 (en) | 2017-05-08 | 2019-12-24 | Amazon Technologies, Inc. | Communication protocol using implicit certificates |
US10798086B2 (en) | 2017-05-08 | 2020-10-06 | Amazon Technologies, Inc. | Implicit certificates using ring learning with errors |
US10630655B2 (en) * | 2017-05-18 | 2020-04-21 | Robert Bosch Gmbh | Post-quantum secure private stream aggregation |
EP3474484A1 (en) * | 2017-10-17 | 2019-04-24 | Koninklijke Philips N.V. | Cryptographic device with updatable shared matrix |
JP6849860B2 (ja) * | 2017-10-17 | 2021-03-31 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 格子暗号法のために構成可能な装置 |
CN111418182B (zh) * | 2017-12-08 | 2023-10-27 | 索尼公司 | 信息处理装置、登记装置、信息处理方法、登记方法和计算机程序 |
EP3793129A4 (en) | 2018-05-30 | 2021-11-17 | Huawei International Pte. Ltd. | KEY EXCHANGE SYSTEM, METHOD AND APPARATUS |
CN108923907B (zh) * | 2018-06-20 | 2021-01-29 | 中国科学院重庆绿色智能技术研究院 | 一种基于模容错学习问题的同态内积方法 |
EP3624391A1 (en) * | 2018-09-12 | 2020-03-18 | Koninklijke Philips N.V. | Public/private key system with decreased encrypted message size |
DE102018122278A1 (de) * | 2018-09-12 | 2020-03-12 | Infineon Technologies Ag | Ausführen einer kryptographischen Operation |
CN109861821B (zh) * | 2019-02-26 | 2020-10-30 | 清华大学 | 一种用于lwe公钥密码的错误协调方法 |
WO2020226695A1 (en) * | 2019-05-09 | 2020-11-12 | Google Llc | Compression and oblivious expansion of rlwe ciphertexts |
KR20220012851A (ko) | 2019-05-30 | 2022-02-04 | 김봉만 | 대칭 키 암호화/교환을 위한 양자 내성 암호화 및 진보된 암호화 및 키 교환(aeke) 방법 |
CN114521319B (zh) * | 2019-09-26 | 2023-12-05 | 维萨国际服务协会 | 具有均匀秘密的基于格的签名 |
KR102418016B1 (ko) * | 2019-11-28 | 2022-07-07 | 서울대학교산학협력단 | 래티스를 기반으로 하는 신원 기반 암호화 방법 |
US11334667B1 (en) | 2020-01-17 | 2022-05-17 | Wells Fargo Bank, N.A. | Systems and methods for disparate quantum computing threat detection |
US11366897B1 (en) * | 2020-01-17 | 2022-06-21 | Wells Fargo Bank, N.A. | Systems and methods for layered quantum computing detection |
CN113541952B (zh) * | 2020-04-17 | 2023-07-25 | 赵运磊 | 基于格的数字签名方法 |
CN113541933B (zh) * | 2020-04-17 | 2023-07-25 | 赵运磊 | 一种基于格的高效紧凑加密方法 |
US11637700B2 (en) | 2020-08-14 | 2023-04-25 | Samsung Electronics Co., Ltd. | Method and apparatus with encryption based on error variance in homomorphic encryption |
CN115276984B (zh) * | 2022-07-29 | 2024-03-29 | 山东大学 | 一种基于gr-lwe问题的密钥交换方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030081774A1 (en) * | 2001-10-26 | 2003-05-01 | Paul Lin | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure |
US20080046732A1 (en) * | 2006-08-15 | 2008-02-21 | Motorola, Inc. | Ad-hoc network key management |
TW200920067A (en) * | 2007-10-29 | 2009-05-01 | Inst Information Industry | Key management system and method for wireless networks |
US20090154711A1 (en) * | 2007-12-18 | 2009-06-18 | Jho Namsu | Multi-party key agreement method using bilinear map and system therefor |
TW201201558A (en) * | 2010-06-29 | 2012-01-01 | Univ Vanung | Secret key exchange system and method used in remote mutual identification |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6263437B1 (en) * | 1998-02-19 | 2001-07-17 | Openware Systems Inc | Method and apparatus for conducting crypto-ignition processes between thin client devices and server devices over data networks |
US7577250B2 (en) * | 2004-08-12 | 2009-08-18 | Cmla, Llc | Key derivation functions to enhance security |
JP4422981B2 (ja) * | 2003-06-12 | 2010-03-03 | パナソニック株式会社 | 暗号通信システム |
US7590236B1 (en) | 2004-06-04 | 2009-09-15 | Voltage Security, Inc. | Identity-based-encryption system |
WO2006051402A1 (en) * | 2004-11-11 | 2006-05-18 | Certicom Corp. | Custom static diffie-hellman groups |
CN1870499B (zh) * | 2005-01-11 | 2012-01-04 | 丁津泰 | 产生新的多变量公钥密码系统的方法 |
US8224018B2 (en) * | 2006-01-23 | 2012-07-17 | Digimarc Corporation | Sensing data from physical objects |
US20070271606A1 (en) * | 2006-05-17 | 2007-11-22 | Amann Keith R | Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN |
US8107397B1 (en) * | 2006-06-05 | 2012-01-31 | Purdue Research Foundation | Protocol for secure and energy-efficient reprogramming of wireless multi-hop sensor networks |
US7864952B2 (en) | 2006-06-28 | 2011-01-04 | Voltage Security, Inc. | Data processing systems with format-preserving encryption and decryption engines |
WO2008001327A2 (en) * | 2006-06-30 | 2008-01-03 | Koninklijke Philips Electronics N.V. | Method and apparatus for encrypting/decrypting data |
TW200807998A (en) * | 2006-07-25 | 2008-02-01 | Nat Univ Tsing Hua | Pair-wise key pre-distribution method for wireless sensor network |
US7987367B2 (en) * | 2006-08-30 | 2011-07-26 | Samsung Electronics Co., Ltd. | Method and apparatus for key agreement between devices using polynomial ring |
US20090327141A1 (en) * | 2007-04-18 | 2009-12-31 | Rabin Michael O | Highly efficient secrecy-preserving proofs of correctness of computation |
US20090204823A1 (en) * | 2008-02-07 | 2009-08-13 | Analog Devices, Inc. | Method and apparatus for controlling system access during protected modes of operation |
US9172713B2 (en) * | 2008-09-24 | 2015-10-27 | Neustar, Inc. | Secure domain name system |
US8621227B2 (en) | 2010-12-28 | 2013-12-31 | Authernative, Inc. | System and method for cryptographic key exchange using matrices |
US9288083B2 (en) * | 2011-03-17 | 2016-03-15 | Georgia Tech Research Corporation | Enhanced lattice reduction systems and methods |
US8297510B1 (en) * | 2011-06-30 | 2012-10-30 | Vladimir Yakshtes | Mathematical method of 2D barcode authentication and protection for embedded processing |
-
2013
- 2013-04-11 US US15/881,531 patent/USRE47841E1/en active Active
- 2013-04-11 EP EP13776224.1A patent/EP2837128B1/en active Active
- 2013-04-11 US US16/678,335 patent/USRE48643E1/en active Active
- 2013-04-11 CN CN201380019518.3A patent/CN104396184B/zh active Active
- 2013-04-11 US US14/491,992 patent/US9246675B2/en not_active Ceased
- 2013-04-11 TW TW102112925A patent/TWI502947B/zh active
- 2013-04-11 KR KR1020147027625A patent/KR102116877B1/ko active IP Right Grant
- 2013-04-11 US US16/678,383 patent/USRE48644E1/en active Active
- 2013-04-11 WO PCT/CN2013/074053 patent/WO2013152725A1/en active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030081774A1 (en) * | 2001-10-26 | 2003-05-01 | Paul Lin | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure |
US20080046732A1 (en) * | 2006-08-15 | 2008-02-21 | Motorola, Inc. | Ad-hoc network key management |
TW200920067A (en) * | 2007-10-29 | 2009-05-01 | Inst Information Industry | Key management system and method for wireless networks |
US20090154711A1 (en) * | 2007-12-18 | 2009-06-18 | Jho Namsu | Multi-party key agreement method using bilinear map and system therefor |
TW201201558A (en) * | 2010-06-29 | 2012-01-01 | Univ Vanung | Secret key exchange system and method used in remote mutual identification |
Also Published As
Publication number | Publication date |
---|---|
USRE48644E1 (en) | 2021-07-13 |
CN104396184A (zh) | 2015-03-04 |
US9246675B2 (en) | 2016-01-26 |
CN104396184B (zh) | 2017-12-01 |
KR102116877B1 (ko) | 2020-06-03 |
EP2837128B1 (en) | 2019-02-27 |
US20150067336A1 (en) | 2015-03-05 |
EP2837128A1 (en) | 2015-02-18 |
KR20150032928A (ko) | 2015-03-31 |
USRE48643E1 (en) | 2021-07-13 |
TW201404106A (zh) | 2014-01-16 |
USRE47841E1 (en) | 2020-02-04 |
WO2013152725A1 (en) | 2013-10-17 |
EP2837128A4 (en) | 2015-04-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI502947B (zh) | New cryptographic system and method based on mismatching | |
US10764042B2 (en) | Password based key exchange from ring learning with errors | |
Anand et al. | Identity-based cryptography techniques and applications (a review) | |
WO2015184991A1 (en) | Improvements on cryptographic systems using pairing with errors | |
Hrestak et al. | Homomorphic encryption in the cloud | |
Lv et al. | Group key agreement for secure group communication in dynamic peer systems | |
Son et al. | Conditional proxy re-encryption for secure big data group sharing in cloud environment | |
Gupta et al. | Cryptanalysis of Wang et al.’s lattice-based key exchange protocol | |
Balani et al. | Temporal access control with user revocation for cloud data | |
Patel et al. | Comparative evaluation of elliptic curve cryptography based homomorphic encryption schemes for a novel secure multiparty computation | |
Meshram et al. | An efficient identity-based QER cryptographic scheme | |
Verchyk et al. | A practical study of post-quantum enhanced identity-based encryption | |
Zheng et al. | Threshold attribute‐based signcryption and its application to authenticated key agreement | |
Zhang et al. | New application of partitioning methodology: identity‐based dual receiver encryption | |
Gupta et al. | Identity-based/attribute-based cryptosystem using threshold value without shamir's secret sharing | |
Zhang et al. | A new construction of threshold cryptosystems based on RSA | |
Zhong et al. | Many‐to‐one homomorphic encryption scheme | |
Doshi | An enhanced approach for CP-ABE with proxy re-encryption in IoT paradigm | |
Hyla et al. | Certificate-based encryption scheme with general access structure | |
Yeh et al. | P2P email encryption by an identity-based one-way group key agreement protocol | |
Elkamchouchi et al. | A new proxy identity-based signcryption scheme for partial delegation of signing rights | |
JP2010113181A (ja) | 鍵管理方法、鍵生成方法、暗号処理方法、復号処理方法、アクセス管理方法、通信ネットワークシステム | |
Li et al. | Chosen-ciphertext secure multi-use unidirectional attribute-based proxy re-encryptions | |
Lv et al. | ID-based authenticated group key agreement from bilinear maps | |
Gupta et al. | Revocable key identity based cryptography without key escrow problem |