WO2015081505A1 - 建立抗量子计算攻击的公钥密码的方法 - Google Patents

Abstract

　本发明涉及信息安全领域，公开了一种建立抗量子计算攻击的公钥密码的方法，包括生成共享密钥的方法，所述生成共享密钥的方法包括如下步骤： (11) 建立一个无限非交换群 G； (12) 协议双方选取 G的两个元素作为私钥； (13) 协议第二方计算y，并将y发送给协议第一方； (14) 协议第一方计算x 和z，并将(x， z)发送给协议第二方； (15) 协议第二方计算w和v，并将(w， v) 发送给协议第一方； (16) 协议第一方计算u，并将u发给协议第二方； (17) 协议第一方计算 K_A，而且协议第二方计算 K_B；从而达成共享密钥 K=K_A=K_B 。本发明所建设的公钥密码算法的安全保障是依赖于问题的不可解性，具有抗量子计算攻击的优点。

Description

建立抗量子计算攻击的公钥密码的方法 技术领域

本发明涉及信息安全领域， 特别涉及一种建立抗量子计算攻击的公钥密码 的密码技术。

背景技术

对信息发送与接收人的真实身份的验证、 对所发出 /接收信息在事后的不可 抵赖以及保障数据的完整性是现代密码学主题的二个重要问题。

公开密钥密码体制对这两方面的问题都给出了出色的解答， 并正在继续产 生许多新的思想和方案。 在公钥体制中， 加密密钥不同于解密密钥。 人们将加密 密钥公之于众， 谁都可以使用； 而解密密钥只有解密人自己知道。 近代公钥密码 系统的安全性几乎都是基于目前被认为计算困难的两类数学问题； 第一类为大 素数分解问题， 例如 RSA算法； 第二类为离散对数问题， 例如 Diffie-Hellman的 密钥交换算法、 ElGamal算法、 和椭圆曲线公钥密码算法（筒记为 ECC)等。

近年来， 由于非交换的辫群自身的有限呈示特性、 清晰表达的代数关系式、 漂亮的几何结构、因属于自动机群类而其字问题在二次多项式时间内可解从而相 应的应用于编码的计算和贮存都可快速实现等优点， 辫群成为了人们试图建立 各种公开密钥密码协议的热门平台， 并涌现了诸多以辩群为平台， 并以辩群上的 判定难题作为安全保障的公钥密码系统。例如， Ko等人基于辫群中的元素共轭问 题建立的密钥交换协议。

在经典公钥密码算法中， 作为安全保障的实际计算困难问题， 随着计算机性 能的提高其难解性将大大降低。 特别地， Shor于 1997年提出的著名的 Shor量子 算法将分别在多项式时间内进行大整数的因数分解和离散对数的计算， 这意味 着基于 RSA, ECC, ElGamal算法等建立的公钥密码协议将不再安全， 而量子计 算机的设计正紧锣密鼓地进行中。

针对 Ko等人提出的基于辫群的元素的共轭问题建立公钥密码体制方案， 人 们陆续发现了诸如基于长度的攻击、 线性表示攻击、 Super-Summit-set攻击等攻 击方案。 从而， 对应的公钥密码体制也存在着安全隐患。

综上所述， 这样就使得上述公钥密码的身份的验证、数据保障的安全性存在 发明内容

为解决基于现有公钥密码的身份的验证、数据保障的安全性存在隐患的问题. 本发明的目的在于建立一个能抵抗各种已知的攻击的公钥密码技术， 和在此基 础上给出各应用协议。

实现本发明目的的一种方式为：一种建立抗量子计算攻击的公钥密码的方法_: 包括生成共享密钥的方法,生成共享密钥的方法也称为生成共享密钥协议,所述生 成共享密钥的方法包括如下步骤：

(11) 建立一个无限非交换群 G及 G的两个子群 Α和^ 使得对任意 任意的 be B, 等式 ab=ba成立；

(12) 协议第一方选取 G 中一元素 g, 其中， 协议第一方选取两个元素 b b₂eA作为私钥， 协议第二方选取两个元素 d d₂≡B作为私钥；

(13) 协议第二方选取两个元素

并将 y发送给协议 x= biaiga₂b₂ ^ z=b3ai^a2^4=^3«i^iCigc₂<i2«2^4,

并将 ( , 发送给协议第二方；

(15) 协议第二方选取两个元素 υ₄Ε , 计算 和 并将 (W, V)发送给协议第一方；

(16) 协议第一方计算

u=bi~¹wb2~¹=bi~¹d3Cibiaiga2b2C2d4b2~¹=d3Ciaiga2C2d4,

并将 M发给协议第二方；

而且协议第二方计算

由于 , a₂≡A, d, C₂G B, 所以 与 _Cl和 a₂与 c₂分别乘法可交换， 故协议第一 方和协议第二方达成共享密钥 K=K_A=K_B。 作为一种优选方式， 还包括信息数据加密解密的方法， 信息数据加密解密的 方法也称为公钥加密解密协议， 所述信息数据加密解密的方法包括如下步骤；

(21) 定义需要加密的已编码明文信息为 e { 0, i , 即长度为 的 0-1数串; 并定义 0: G→{ O, i 是一个由群 G到明文空间 { 0, \ }^k抗碰撞的 Hash函数， 协议 第一方选取 (G, A, B, g, Θ )为其公钥；

(22) 加密： 协议第二方先计算

然后进行加密计算 t=Q(K_B)@m, 并将 作为密文发送给协议第一方， 这里的 ©是异或运算；

(23) 解密： 协议第一方先计算 _A=b₃— b₄— ^ dg , 然后进行解密计算 '=©C¾)㊉=Θ( _Α)㊉ (Θ(¾)㊉ );

(24) 验证 m'=m: 由密钥交换协议知 = _β , 所以

'=©C¾)㊉ (Θ(¾)㊉ )= Θ(¾)㊉ (Θ(¾)㊉ )„ ㊉ Θ(¾))㊉ = 。 作为一种优选方式， 还包括数字签名的方法， 数字签名的方法也称为数字签 名协议， 所述数字签名的方法包括如下步骤：

(31) 将需要签名的已编码明文信息定义为 p，并定义 Θ: G→{ , i 是一个抗 碰撞的 Hash函数， 协议第一方选取 (G, A, B, g, Θ )为其公钥；

(32)签名： 协议第一方计算 _A=b₃— b₄— ^ a₁c₁gc₂a₂ ^ S= Θ(ρΚ_Α), 协议第一 方将 S作为它对信息 ρ的签名并将 O , 发送给协议第二方；

(33) 验证： 协议第二方计算

Θ(ρΚ_Β), 如果 S'=S, 协议第二方则认可 S是协议第一方对信息 p的签名， 否则， 协议第二方拒绝 接受 S是协议第一方对信息 p的签名。 作为一种优选方式， 还包括身份认证的方法， 所述协议第一方为示证人， 所 述协议第二方为验证人； 所述身份认证的方法包括如下步骤：

(41) 协议第一方选取一个抗碰撞的 Hash函数 Θ: G→{ , 1}\ 协议第一方选取 (G, A, B, g， Θ)为其公钥；

(42) 协议第二方计算 y Adg i^和 w^ dJC ^, 并将 Cy, w)作为挑战一发送给 协议第一方；

(43) 协议第一方计算

并将 (Z, M)作为响应发送给协议第二方；

(44) 协议第二方计算 v^f^^- b_?>a_lc_lgC2a₂b_A, 并将 v作为挑战二发送给协 议第一方；

(45) 协议第一方计算

并将 作为承诺发送给协议

(46) 协议第二方计算 =Θ(¾— ^― ^= ©(di^gi^ ), 并验证是否 = ', 如果 = ', 协议第二方认可协议第一方的身份， 否则拒绝认可。

实现本发明目的的另一种方式为：一种建立抗量子计算攻击的公钥密码的方 法,包括生成共享密钥的方法， 所述生成共享密钥的方法包括如下步骤：

(11.1) 建立一个无限非交换群 G及 G的两个子群 Α和^ 使得对任意 A、 任意的 beB, 等式 ab=ba成立；

(12.1) 协议第一方选取 G 中一元素 g, 其中， 协议第一方选取两个元素 b₁₀ GA和 d₂₀≡B作为私钥， 协议第二方选取两个元素 b₂₀≡A和 d_weB作为私钥；

(13.1) 协议第二方选取两个元素 i¾。 GA和 dt^B,计算 ί₁₍Λ。^₂。 。， 并将 y 发送给协议第一方；

(14.1) 协议第一方选取四个元素 fit₁₀, b₄。eA和 <¾。， ί₄。ε , 计算

X=

并将 (X, 发送给协议第二方；

(15.1) 协议第二方选取两个元素 b₃。eA和 d₃₀eB, 计算

和

并将 (w, v)发送给协议第一方；

(16.1) 协议第一方计算

并将 M发给协议第二方；

(17.1) 协议第一方计算 \^₄。— ^fl dogfi^ o, 而且协议第二方计算

由于 a_w, a₂o≡A, c_w, c₂o B, 所以 <2₁₀与 c₁₀和 <¾)与 <¾o分别乘法可交换， 故十办 议第一方和协议第二方达成共享密钥 K=K_A=K_B。 其中， 所述无限非交换群 G优选为辫群， 给出辫群¾(«≥12)的具有不可解的 子群成员问题的 Mihailova子群的生成元系， 给出了辫群 ¾(«≥12)的具有子群 成员问题不可解的 Mihailova子群的生成元系， 并建议为抗量子计算攻击， 上述 协议双方的私钥由 Mihailova子群的生成元生成； 所述无限非交换群 G取指数为《^ 12的辫群 并由如下呈示所定义的群:

Β_η=(σ_λ, σ₂, ..., σ„_ιΙ ₌ ， \i-j\>2, ₊₁ = _{+1 +1}, l≤i≤n-2 >, 辫群 B_fl含有如下两个子群： 令 w=L«/2」为不大于 ηΙ2的最大整数， 辫群 B_n的左辫子 LB_n和右辫子 RB_n分别 为

a_m+2, ..., σ„_ι >

^P, 分另 ll为由 CJi, O2, ...， m-l ^σ_ηι+ ι, <7_m+2, ...， (J_n-l生成的子群， 并且， 对于任意的 ae L 和任意的 be RB_n, 有 ab=ba, 所述的 G的子群 A即取为 LB_n，, 而 G的子 群 B即取为 RB_n; 当 12时， LB ? 分别含有一个与 F₂xF₂同构的子群， 即两个秩为 2的 自由群的直积同构的子群：

LA=( <7 _m-5², <7 _m-4², <7 _m-2 , (7_m-\ )< LB_n 和

RA=( <7 _m+\ , <7 _m+2 , O m+ , <^ m+5²)≤ RBn ；

作为一种优选方式，所述辫群¾的指数《≥12； 子群为 A=L 和 B=R ；

"2, C\, C ₂的选取满足其乘只 fitiCigfi^C^不小于 256比特或 flio, "20, Cio, C ₂0的选取满 足其乘积 。( ₁₍^ί¾。(¾。不小于 256比特； 私钥 b₂, d d₂或 b₁₀, b₂₀, d_w, d₂₀均不 小于 256比特； 保护层元素 , b₄, d₃, ί ₄或 b₃₀, b₄₀, d₃₀, d₄。均不小于 128比特。

本发明首先从理论建立了一个存在不可解的问题的代数系统， 其次， 以这个 问题的不可解性作为安全保障建立公钥密码算法。本发明算法的安全性与不可解 问题的等价性， 证明了其对量子计算等攻击的免疫， 由于本发明建立的公钥密码 方法是以不可解的判定问题作为安全保障， 因此该方法无论从理论上还是实际应 用方面均得到了有力保障， 与现有技术相比， 具有以下优点：

1.所建设的公钥密码算法的安全保障是依赖于问题的不可解性， 而不是问题 的计算困难性， （经典公钥密码算法是基于计算的困难性 );

2.本发明的公钥密码算法的安全性等价于所依赖的问题的不可解性是得到数 学证明的；

3.本发明的公钥密码算法是抗量子计算攻击的。 具体实施方式

下面结合实施例对本发明一种建立抗量子计算攻击的公钥密码协议作进一步 详细说明。

一、 建立公钥密码协议的平台

建立所有公钥密码协议的平台是一个无限非交换群 (non-abelian group)G及 G 的两个子群 A和^ 使得对任意 ί^Α任意的 be B, 等式 ab=ba成立。 此外， 由于 编码和密钥生成的需要， G还必须满足以下条件：

1) 于 G的生成元集合上的代表 G的元素的字具有可计算的正规形式 (normal form);

2) G至少是呈指数增长 (exponential growth), 即 G中字长为正整数《的元素 个数下囿于一个关于 n的指数函数；

3) 基于正规形式的群的乘积运算和求逆运算是能行可计算的。

为此， 选取无限非交换群 G为指数《^ 12的辫群 B_n, ¾具有上述性质并由 口下呈示 (presentation)所定义的群：

Β_η=(σι, ( , ..., σ„_ιΙ OiOj₌ OjOi , \i- \>2, ₊₁ = _{+1 +1}, \<ά<η-2 >,

辫群 ¾含有如下两个子群：

令 =L«/2」为不大于 nil的最大整数， 辫群 B_n的左辫子 LB_n和右辫子 RB_n分别 为

LB_n=(a σ₂, o_m-_X > 和 RB_n=(a_m+ i, a_m+2, ..., σ„_ι >

即， 分别由 σ_ΐ σ₂, ..., a_m a_m+！, a_m+2, ..., σ„_ι生成的子群， 并且， 对于任意的 LB_n ^M ^) be RB_n, ^ ab=ba。

当《^ 12时， 和 ？ 分别含有一个与 F₂xF₂, 即两个秩为 2的自由群的直 积同构的子群

LA={ σ _m-5 , c_m-4 , <y_m-i , <y_m-\ )≤ LB_n

RA=( (7_m+\ , (7 _m+2 , (7 _m+4 , (7 _m+5〉≤ RB_n

由一个两个元素生成的其字问题不可解的有限呈示群 H, 再构造 IA 的一个 Mihailova子群 M_M(H)和 RA的一个 Mihailova子群 M^H); 下方即为 M_M(H)的 56个生成元， 其中 i=m—5; 而当令 = +l, 便可得到 MRA(H)的 56个生成元：

«₃, 4, ^, 7 , 7=1, 2, -, 27

而 27个 为 (将下述每一 中的所有 换成 σ₊₃, 所有 σ₊₁换成 σ₊₄便得到对应 的 27个 Τ_φ』=ί, 2, 27):

<τ:· ⁴σ；_lσf f.

4TjT.^I ₁ ^i,(j J.._t. ! ;^≥ † ! a l σ , ¹ J ^}： τ; ² _L (j 'j J ^】 .) ....¹

^^ ：²^^/;'.¹^ ,²^^)-:

σ · i « , 0「 σξσΙΙ , ff , σ|σ¾, _s σ·_: '^ισ ,_Γ , 「 ^, er ft.il： (t^^ff --l^<T「^j£5lrt^{i iT} l^fT「2cr^_ll7fc^._lff「⁴ _ff^ ofir .₁ff「2ff₁ ^lK^l^l _£r「²fl^² ₁fff<j ,)····1 ff^' fafat'₊ , <τ「^¾σ|〖 ff» , ff;½¾ erf*¹ ff,½f₊₁ ίτΓ-*_σ|₊〖 _σί

二， 建立公钥密码体制的 *心协议一的实施倒：

在本实施例中， 协议 X 方分别是 Alice和 Bob,

1 ) Alice和 Bob共同选取 ¾中一元素 g, Alice选取两个元素 b₂eLB_n作为私 钥， Bob选取两个元素 ， rf₂e i? 作为私钥；

2) Bob选取两个元 ₂ iS

并将 j;发送给 Alice;

3) Alice选取四个元素 6₄e丄 „, 计算

x= biciig a₂ b₂ 和

并将 (x, z)发送给 Bob;

4) Bob选取两个元素 i¾, i¾e≡i?¾, 计算

和

V= <ii~¹Z<i2~¹=^l~¹^3«l^lClgC2<i2«2^4^2~¹=^3«lClgC2a2^4

并将 (w, v)发送给 Alice;

5) Alice计算

u=bi~¹wb2~¹=bi~¹d3Cibiaiga2b2C2d4b2~¹=d3Ciaiga2C2d4,

并将 u发给 Bob,

上述协议中的第 4)步中， 由于 d d₂≡RB_n, a a₂, h, b₄≡LB_n, 所以 A—¹, d₂~^x分 别与 b₃, 和 , ί¾乘法可交换， 故得该步骤中最后一个等式。 同理得到第 5)步 中最后一个等式。 在本实施例的基础上， 建立密钥交换协议的优选实施例：

在核心协议的五个步骤后继续进行如下进程：

6) Alice计算 K_A=b3~¹vb4~¹=aiCigC2a2而且 Bob计算 K_B=d^^xud^^x= Ciaiga₂c

由于 a₂ LB_n, ci, c₂ RB_n, 所以 与 d和 a₂与 c₂分别乘法可交换， 故 Alice和 Bob达成共享密钥 K=K_A=K_B。 在本实施例的基础上， 建立数据加密协议的优选实施例：

设需要加密的明文信息（已编码)为 e {0, i (即长度为 的 0-1数串)， 并 设 Θ: ¾→{0, i 是一个由群¾到明文空间 {0, \ }^k抗碰撞的 Hash函数。 Alice 的公钥是 ( ， LB_n, RB_n, g, Θ ), 并选取 , a₂, b b₂, h, b₄e LB_n, 私钥为 b₂。 Bob选取 c₂, d d₂, d₃, d₄≡RB_n, 并且以 d i ₂为私钥。 在核心协议的五个步 骤后继续进行如下进程：

6)加密： Bob先计算 ^― ^ dfl!g^, 然后计算 (加密） =©C¾)® , 并 将 作为密文发送给 Alice。 这里的㊉是异或 (exclusive or)运算。

7)解密： Alice先计算 _A=b₃— b₄— ^ a₁c₁gc₂a₂, 然后计算 (解密）

'=©C¾)㊉=Θ( _Α)㊉ (Θ(¾)㊉ )

验证 m'=m 由密钥交换协议知 = _β, 所以

'=©C¾)㊉ (Θ(¾)㊉ )=©C¾)㊉ (Θ(¾)㊉ )„ ㊉ Θ(¾))㊉ = 。 在本实施例的基础上， 建立数字签名协议的优选实施例：

设需要加密的明文信息（已编码)为 m, 并设 Θ: ¾→{0, i 是一个抗碰撞的 Hash函数。 Alice的公钥是 ( ， LB_n, RB_n, g, Θ ), 并选取 α₂, b b₂, h, b₄e LB_n 私钥为 b b₂。 Bob选取 c₂, d d₂, d₃, d₄e RB_n, 并且以 d d₂为私钥。 在核 心协议的五个步骤后继续进行如下进程：

6) 签名： Alice计算 _A=b₃— b₄— ^ a₁c₁gc₂a₂和 S= Q(mK_A), Alice将 S作为她 对文件 m的签名并将 O , )发送给 Bob。

7) 验证： Bob计算 _β=ί₃— ^― ^c^gi^ 和 S'=Q(mK_B 如果 Bob则 认可 S是 Alice对文件 m的签名， 否则， Bob拒绝接受 S是 Alice对文件 m 的签名。 在本实施例的基础上，一种在核心协议基础上的身份认证协议的优选实施例：

Alice选取 B_n中一元素 g, 四个元素 «1, θ,

b2 LB_n, 一 才重 Hash函 数 Θ: Β_η→{ , 1 } 并计算 JC= b₁a₁ga₂b₂. Alice的公钥是 ( ， LB_n, RB_n, g, x, Θ ), 私 钥为 b_l b₂。

认证过程：

设 Alice是示证人 (prover), Bob是验证人 (verifier)。 ) Bob选取六个元素 ci, c₂, d_h d₂, d₃, d₄≡RB_n, 私钥为 d d₂。 Bob计

并将 (y, w)作为挑战 (challenge)—发送给 Alice;

) Alice选取两个元素 b₃, b₄e L ,, 计

z=b^a\ya₂b4和

并将 (z, M)作为响应（response)发送给 Bob;

) Bob计算 将 v作为挑战二发送给 Alice;

) Alice计

并将 作为承诺 (commitment)发送给 Bob;

) Bob

并马全证是否 = '。

如果 t=t', Bob认可 Alice的身份， 否则拒绝认可。 建立公钥密码体制的核心协议二的实施例：

在本实施例中， 协议双方分别是 Alice和 Bob,

1.1) Alice和 Bob共同选取 B_n中一元素 g, Alice选取两个元素 LB_n和 d₂e RB_n 作为私钥， Bob选取两个元素 b₂G LB AeR 作为私钥；

.1) Bob选取两个元素 a₂ ≡LB_n

并将 y发送给 Alice;

3.1) Alice选取四个元素 b₄e LB_n和 c₂, d₄e RB_n , 计算

x= biaigc₂d₂ 和 z=b4ai^c₂<i4=b4ai<iiCiga2¾C2^4

并将 ( , 发送给 Bob;

4.1) Bob选取两个元素 e LB_n和 d₃e RB_n, 计 和 并将 (w, v)发送给 Alice;

5.1) Alice计算 并将 u发给 Bob;

上述协议中的第 4)步中， 由于 d d₂≡RB_n, a a₂, h, b₄≡LB_n, 所以 A—¹, d₂~^x分 别与 b₃, 和 , ί¾乘法可交换， 故得该步骤中最后一个等式。 同理得到第 5)步 中最后一个等式。

3.3 应用协议

在核心协议的基础上建立如下的应用协议， 在本实施例的基础上， 建立密钥交换协议的优选实施例：

在核心协议的五个步骤后继续进行如下进程：

6.1) Alice计算 ^ =^4 ^^4~¹⁼«1^1^02^2而且 Bob计算 K_B=d^¹ub^¹= Ciaigc₂

由于 a₂ LB_n, ci, c₂ RB_n, 所以 与 d和 a₂与 c₂分别乘法可交换， 故 Alice和 Bob达成共享密钥 K=K_A=K_B。 在本实施例的基础上， 建立数据加密协议的优选实施例：

设需要加密的明文信息（已编码)为 e {0, i (即长度为 的 0-1数串)， 并 设 Θ: ¾→{0, i 是一个由群¾到明文空间 {0, \ }^k抗碰撞的 Hash函数。 Alice 的公钥是 ( ， LB_n, RB_n, g, Θ ), 并选取 , b!, b₄e LB„和 c₂, d₂, d₄≡RB_n, 私钥 为 b d₂。 Bob选取 a₂, b₂, he LB_n和 d_x, d₃≡RB_n, 并且以 , b₂为私钥。 在 核 ' ^协议的五个步骤后继续进行如下进程：

6.1) 加密： Bob先计算 ^bs— ^ di^ i^, 然后计算 (加密） =©C¾)® , 并 将 作为密文发送给 Alice。 这里的㊉是异或 (exclusive or)运算。

7.1) 解密： Alice先计算 _A=b₄— ^— ^ a^g^^, 然后计算 (解密）

'=©C¾)㊉ =Θ( _Α)㊉ (Θ(¾)㊉ )

验证 m'=m 由密钥交换协议知 = _β, 所以

'=©C¾)㊉ (Θ(¾)㊉ )=©C¾)㊉ (Θ(¾)㊉ )„ ㊉ Θ(¾))㊉ = 。 在本实施例的基础上， 建立数字签名协议的优选实施例：

设需要加密的明文信息（已编码)为 m, 并设 Θ: ¾→{0, i 是一个抗碰撞的 Hash函数。 Alice的公钥是 ( ， LB_n, RB_n, g, Θ ), 并选取 b_l5 b₄ e LB_n和 c₂, d₂, d₄≡RB_n, 私钥为 b d₂。 Bob选取 a₂, b₂, b₃GLB d_x, d₃≡RB_n, 并且以 d b₂ 为私钥。 在核心协议的五个步骤后继续进行如下进程：

6.1) 签名： Alice计算 _A=b₄— ^— ^ αχ^^^和 S= Θ(ΜΚ_Α), Alice将 S作为她对 文件 m的签名并将 O , )发送给 Bob。

6.2) 验证： Bob计算 Kj^d^u Sc^gc 和 S'=Q(mK_B 如果 Bob则认 可 S是 Alice对文件 m的签名， 否则， Bob拒绝接受 S是 Alice对文件 m的 签名。 在本实施例的基础上，一种在核心协议基础上的身份认证协议的优选实施例：

Alice选取 中一元素 g, 四个元素 fid, ^ 3„和 <¾, d₂≡RB_n, 一个抗碰撞的 Hash函数 Θ: B_n→{0, 1 } 并计算 JC= I hgd Alice的公钥是 ( ， LB_n, RB_n, g, x, Θ), 私钥为 , d₂。 认证过程：

设 Alice是示证人 (prover), Bob是验证人 (verifier)。

) Bob选取六个元素 d d₃≡RB_n ^ a₂, b₂, b₃≡LB_n, 私钥为 b₂, d Bob计算

并将 (y, w)作为挑战 (challenge)—发送给 Alice;

) Alice选取两个元素 b₄e

i ₄e R , 计算

z=b₄ai_yc₂<i4和

并将 (z, M)作为响应（response)发送给 Bob;

) Bob计算 v=i r b2— ¹⁼ <3iCigi¾<¾i 4, 并将 v作为挑战二发送给 Alice;

) Alice计算

并将 作为承诺 (commitment)发送给 Bob;

) Bob

©{c_la_lgc₂a₂), 并验证是否 = '。

如果 t=t', Bob认可 Alice的身份， 否则拒绝认可。 安全性分析

我们仅给出密钥交换协议的安全性即可。

首先， 给出群上的三个判定问题的定义。

子群成员问题 (subgroup membership problem or generalized word problem, 筒记为 GWP): 给定群 G的一个其生成元集为 X的子群 H, 判定 G中任 意元素 g是否可由 X上的字代表， 即判定 g是否为 中元素。

元素分解搜索问题 ( decomposition search problem, 筒记为 DSP ) ： 设 g和 h 是群 G两个元素。 已知存在 G的两个元素 c和 d, 使得 h=cgd。 求 G的两个元素 和 d', 使得 h=c'gd'。 扩展的元素分解搜索问题 (generalized decomposition search problem, 筒 己 为 GDSP ) ： 设 g和/ Ϊ 是群 G两个元素， 和 是 G的两个子群。 已 知存在 H元素 c和 的元素 d, 使得 h=cgd。 求 H的元素 和 K的元 素 d' , 使得 h=c' gd'。

DSP是十分容易求解的： 令 c^g—¹, d'=h即可。 而 GDSP的可判定性则不确 定。 然而， 对于无限非交换群中分解方程式 /i=Cgi (C和 未知)， 要确定地解出 C 和 d是不可能的。 应为人们不知道 c和 d的值， 即使通过求解 GDSP问题计算 得到的所谓的 "解， 和 if, 使得 h=c'gd', 也无法确定是否 c'=c和 ίΤ=ί。 特别地， 如 果 c和 d分别取自于具有不可解的 GWP问题的子群 C和 D, 求解者不仅无法确 定是否 c'=c和 d'=d, 而且他根本不能确定 和 if是否分别是 C和/)的元素。

在核心协议一中， 攻击方 Eve通过公开信息和 Alice与 Bob的交互式过程能 获取的信息如下：

无限非交换群 G, G的两个子群 A和 B, 使得对任意 ί^Α任意的 be B, 有 ab=ba, G中一元素 g, 以及下列 G中元素：

注意， Eve只知道 x, y, z, w, u, v, 不知道对应的分解表达式。 Eve如果能够通过解 决 GDSP问题而菝得 c , C₂'G B, 和 a , a₂' A, αχ ga =a_xga₂ Ci gC2 =C\gc₂, 则由 A和 B的元素乘法可交换性得

所以， Eve需要先获得元素 ί^β(2和 ί¾ί¾。

由于 Eve不 口道 和 她无法从 Λ:剥离掉^和^去菝得 和 从 y剥离掉 di和 d₂去菝得 Cigc 而 Eve 口道 w= biub₂和 z= divd₂ (但不 口 bi, b₂ 和 d d₂ )。 现在即使 Eve能解决 GDSP问题， 解得 b ， b^eA, 和 di , ά₂ΈΒ, 使 得

d₂。 从而 Eve仍然不能从 JC剥离掉 ^和 b₂去获得 a_lga₂, 和从 y剥离掉 A和 d₂去获得 特别地， 在具体实施方案中无限非交换群 G取指数《≥12的辫群 B_n, Α和 分别取 Β_η的子群 LB_n和 RB_n, 而私钥 b₂和 d d₂分别在 LB_n的 Mihailova子群 M_M(H)和 R 的 Mihailova子群 M^H)中选取， 则在上述 Eve的攻击中， 她通过 解决 GDSP 问题解得 bi , b2 LB_n, 和 di , d₂'eRB_n, 使得 'ub^ u 和

d₂, 因为 bi, b₂<≡ M_M(H), d d₂≡ MRA(H), 从而她必须先确定是否 b ， b^eM H), 以及是否 d , d₂ ^f≡ MRA( )。 但是 M_M(H)和 M^H)的 GWP问题不可解， 故 Eve即使借助量子计算系统也无法 进行攻击。

在核心协议二中， 攻击方 Eve通过公开信息和 Alice与 Bob的交互式过程能 获取的信息如下：

无限非交换群 G, G的两个子群 A和 B, 使得对任意 ί^Α任意的 beB, 有 ab=ba, G中一元素 g, 以及下列 G中元素：

注意， Eve只知道 x, y, z, w, u, v, 不知道对应的分解表达式。 Eve如果能够通过解 决 GDSP问题而菝得 c , C₂'G B, 和 a , a₂' A, αχ gc =a_xgc₂ Ci ga2=Ciga₂, 则由 A和 B的元素乘法可交换性得

所以， Eve需要先获得元素 和 dgfi^

由于 Eve不 口道 aigc₂和 Ciga₂, 她无法从 x剥离掉 bi和 d₂去菝得 aigc₂, 和 从 y剥离掉 di和 b₂去菝得 Ciga 而 Eve 口道 w=biud₂和 z= divb₂ (但不 口 bi, b₂ 和 d d₂ )。 现在即使 Eve能解决 GDSP问题， 解得 b ， b^eA, 和 di , ά₂ΈΒ, 使 得 bi'ud2'=biud₂和

d₂。 从而 Eve仍然不能从 JC剥离掉 ^和 d₂去获得 a_lgc₂, 和从 y剥离掉 A和 b₂去获得 特别地， 在具体实施方案中无限非交换群 G取指数《≥12的辫群 B_n, Α和 分别取 Β_η的子群 LB_n和 RB_n, 而私钥 b₂和 d d₂分别在 LB_n的 Mihailova子群 M_M(H)和 R 的 Mihailova子群 M^H)中选取， 则在上述 Eve的攻击中， 她通过 解决 GDSP 问题解得 bi , b2 LB_n, 和 di , d₂'eRB_n, 使得 'ud^ uh和

d₂, 因为 bi, b₂<≡ M_M(H), d d₂≡ MRA(H), 从而她必须先确定是否 b ， b^eM H), 以及是否 d , d₂ ^f≡ MRA( )。 但是 M_M(H)和 M^H)的 GWP问题不可解， 故 Eve即使借助量子计算系统也无法 进行攻击。 五、 参数的选取

在一个优选实施例中， 辫群 ¾的指数《≥12, 各协议中的子群 Α=Ζ^„, = ^„, ύίι, Ci, C2的选取要满足其乘积 不小于 256比特， 私钥 b b₂, d d₂均不 小于 256比特， 保护层元素 b₃, b₄, d₃, ί₄均不小于 128比特。

特别指出， 为抗量子计算攻击， 建议私钥 b b₂和 ch, ί₂分别在辫群 Β„的 Mihailova子群 M_M(H)和 M^H)中选取。 从而， 由于 M_M(H)和 MRA(H)的 GWP 的不可解性， 正如在安全性分析中所述， 即使借助量子计算系统₃ b b₂和 , d_: 也是不可被攻击的。

以上是对本发明一种建立抗量子计算攻击的公钥密码的方法进行了阐述 _: 用于帮助理解本发明， 但本发明的实施方式并不受上述实施例的限制， 任何未背 离本发明原理下所作的改变、 修饰、 替代、 组合、 筒化， 均应为等效的置换方式. 都包含在本发明的保护范围之内。

Claims

权 利 要 求 书

1. 一种建立抗量子计算攻击的公钥密码的方法， 其特征在于： 包括生成 共享密钥的方法， 所述生成共享密钥的方法包括如下步骤：

(11) 建立一个无限非交换群 G及 G的两个子群 A和 B, 使得对任意 aeA . 任意的 bG B, 等式 <^=ki(成立；

(12) 协议第一方选取 G中一元素 g, 其中， 协议第一方选取两个元素 b_l b₂eA作为私钥， 协议第二方选取两个元素 d d₂≡B作为私钥；

(13) 协议第二方选取两个元素

并将 y发送给 协议第一方；

(14) 协议第一方选取四个元素 i¾, b₃, b₄eA, 计算

x= biaiga₂b₂ ^ z=b3ai^a2^4=^3«i^iCigc₂<i2«2^4, 并将 ( , 发送给协议第二方；

(15) 协议第二方选取两个元素 υ₄Ε , 计算 和 并将 (W, V)发送给协议第一方；

(16) 协议第一方计算

u=bi~¹wb2~¹=bi~¹d3Cibiaiga2b2C2d4b2~¹=d3Ciaiga2C2d4,

并将 M发给协议第二方；

(17) 协议第一方计算 _A=b₃— b₄— ^fiddg fi^, 而且协议第二方计算

C\a\ga2C2■ 由于 , a₂≡A, d, c₂≡B, 所以 与 _Cl和 a₂与 c₂分别乘法可交换， 故协议 第一方和协议第二方达成共享密钥 K=K_A=K_B。

2. 根据权利要求 1所述的建立抗量子计算攻击的公钥密码的方法， 其特 征在于： 还包括信息数据加密解密的方法， 所述信息数据加密解密的方法包 括如下步骤；

(21) 定义需要加密的已编码明文信息为 e{0, \}^k , 即长度为 k的 0-1 数串;并定义 Θ: G→{ , i 是一个由群 G到明文空间 {0, i 抗碰撞的 Hash 函数， 协议第一方选取 (G, A, B, g, Θ )为其公钥；

(22)加密： 协议第二方先计算

然后进行加密计 算 =0(^¾® ,并将 作为密文发送给协议第一方， 这里的 ©是异或运算；

(23) 解密： 协议第一方先计算 ^b^vb ^ dgc^z, 然后进行解密计 算 '=©C¾)㊉=Θ0¾)㊉ (Θ( _β)㊉ );

(24) 验证 m'=m: 由密钥交换协议知 = _β , 所以

'=©C¾)㊉ (Θ(¾)㊉ )= Θ(¾)㊉ (Θ(¾)㊉ )„ ㊉ Θ(¾))㊉ = 。

3. 根据权利要求 1所述的建立抗量子计算攻击的公钥密码的方法， 其特 征在于： 还包括数字签名的方法， 所述数字签名的方法包括如下步骤：

(31) 将需要签名的已编码明文信息定义为 p，并定义 Θ: G→{ , i 是一 个抗碰撞的 Hash函数， 协议第一方选取 (G, A, B, g, Θ )为其公钥；

(32)签名： 协议第一方计算 _A=b₃— b₄— ^ a₁c₁gc₂a₂ ^ S= Θ(ρΚ_Α), 协议 第一方将 S作为它对信息 ρ的签名并将 /?)发送给协议第二方；

(33)验证： 协议第二方计算

Θ(ρΚ_Β), 如 果 协议第二方则认可 S是协议第一方对信息 p的签名， 否则， 协议第 二方拒绝接受 S是协议第一方对信息 p的签名。

4. 根据权利要求 1所述的建立抗量子计算攻击的公钥密码的方法， 其特 征在于： 还包括身份认证的方法， 所述协议第一方为示证人， 所述协议第二 方为验证人； 所述身份认证的方法包括如下步骤：

(41) 协议第一方选取一个抗碰撞的 Hash函数 Θ: G→{ , 1}\ 协议第一方 选取 （G, A, B, g, Θ )为其公钥；

(42) 协议第二方计算 3=ί₁₍ (¾ί₂和 w^ dJC ^, 并将（y, w)作为挑战一发 送给协议第一方；

(43) 协议第一方计算

并将 (Z, M)作为响应发送给协议第二方；

(44) 协议第二方计算v=ίΓ¹¾2— ^fliCig i^^, 并将 V作为挑战二发送给 协议第一方；

(45) 协议第一方计算

并将 作为承诺发送给 协议第二方；

(46) 协议第二方计算 =Θ(¾— ^― 4= ©(dfl!g^), 并验证是否 t=t', 如 ^ t= , 协议第二方认可协议第一方的身份， 否则拒绝认可。

5. 一种建立抗量子计算攻击的公钥密码的方法， 其特征在于： 包括生成 共享密钥的方法， 所述生成共享密钥的方法包括如下步骤： (11.1) 建立一个无限非交换群 G G的两个子群 A和 8， 使得对任意 aeA, 任意的 bGB, 等式 <2^=/?<2成立；

(12.1) 协议第一方选取 G中一元素 g, 其中， 协议第一方选取两个元素 bio≡A^d₂₀eB作为私钥， 协议第二方选取两个元素 b₂₀ e A和 d_1Qe 作为私 钥；

(13.1) 协议第二方选取两个元素 <¾₀GA和 c₁₀eB,计算

并 将）发送给协议第一方；

(14.1) 协议第一方选取四个元素 β(₁₀, b₄₀eA和 c₂₀, ί₄₀ε , 计算

x= bi₀aiogC2od₂o 和 z=b₄oaio}^;C2o^4o=¾oaio<iioCioga2o?2oC2o<i4o, 并将 (x， 发送给协议第二方；

(15.1) 协议第二方选取两个元素 b₃₀eA和 ί₃₀Ε , 计算

w=d3oC₁oxa2oho=d3oC_Wb_waiogC2od2oa₂o o

和

?4o"ioCiog<¾o<¾o<¾o 并将 (w, v)发送给协议第一方；

(16.1) 协议第一方计算

u=b_w~¹wd2o~¹=b_lo~¹d₃oCiob_waiogC2od2oa2ob3od2o~¹=d3oCioaiogC2oa2ob₃o, 并将 M发给协议第二方；

(17.1) 协议第一方计算

而且协议第二方计 算 K_B=d_i0~¹nb_?>o~¹= Cioa₁₀gc₂a2；

由于 <2₁₀， a₂₀ A, cio, c₂₀e B, 所以 <2₁₀与 c₁₀和 <¾₀与 c₂₀分别乘法可交换， 故 协议第一方和协议第二方达成共享密钥 K=K_A=K_B。

6. 根据权利要求 5所述的建立抗量子计算攻击的公钥密码的方法， 其特 征在于： 还包括信息数据加密解密的方法， 所述信息数据加密解密的方法包 括如下步骤；

(21.1) 定义需要加密的已编码明文信息为 e{0, \}^k, 即长度为 k的 0-1 数串;并定义 Θ: G→{ , i 是一个由群 G到明文空间 {0, i 抗碰撞的 Hash 函数， 协议第一方选取 (G, A, B, g, Θ )为其公钥；

(22.1)加密： 协议第二方先计算

c_wa_wgc₂oa₂o, 然后进行 加密计算 =0(^¾® , 并将 作为密文发送给协议第一方， 这里的㊉是异或运

(23.1) 解密： 协议第一方先计算 _A=b₄。— w— ^iidodogi^^, 然后进行 解密计算 '=©C¾)㊉=Θ0¾)㊉ (0C¾)® );

(24.1) 验证 m'=m: 由密钥交换协议知 = _β , 所以

'=©C¾)㊉ (Θ(¾)㊉ )= Θ(¾)㊉ (Θ(¾)㊉ )„ ㊉ Θ(¾))㊉ = 。

7. 根据权利要求 5所述的建立抗量子计算攻击的公钥密码的方法， 其特 征在于： 还包括数字签名的方法， 所述数字签名的方法包括如下步骤：

(31.1) 将需要签名的已编码明文信息定义为/? ，并定义 Θ: G→{ , i 是 一个抗碰撞的 Hash函数， 协议第一方选取 (G, A, B, g, Θ )为其公钥；

(32.1)签名： 协议第一方计算

ακ^κ^ί^^和^ Θ(ρΚ_Α), 协议第一方将 S作为它对信息 ρ的签名并将 O , /?)发送给协议第二方；

(33.1) 验证： 协议第二方计算

Θ(ρΚ_Β), 如果 协议第二方则认可 S是协议第一方对信息 p的签名， 否则 协议第二方拒绝接受 S是协议第一方对信息 p的签名。

8. 根据权利要求 5所述的建立抗量子计算攻击的公钥密码的方法， 其特 征在于： 还包括身份认证的方法， 所述协议第一方为示证人， 所述协议第二 方为验证人； 所述身份认证的方法包括如下步骤：

(41.1) 协议第一方选取一个抗碰撞的 Hash函数 Θ: G→{ , 1 }\ 协议第一 方选取 （G, A, B, g, Θ )为其公钥；

(42.1) 协议第二方计算 y=<i₁₀c₁₀gfi(₂₀b₂₀和 w=<¾₀c_1&ra₂₀b₃₀, 并将 (y, w)作为 挑战一发送给协议第一方；

(43.1) 协议第一方计算

并将 (z, M)作为响应发送给协议第二方；

(44.1) 协议第二方计算

b₄oa_wc_wga2oC2od₄o, 并将 v作为挑战 二发送给协议第一方；

(45.1) 协议第一方计算

并将 t作为承诺 发送给协议第二方；

(46.1) 协议第二方计算

©(c_l0a_l0gC2_Qa_2Q), 并验证是否 t=t 如果 = ', 协议第二方认可协议第一方的身份， 否则拒绝认可。

9.根据权利要求 1-8所述的任一建立抗量子计算攻击的公钥密码的方法， 其特征在于： 所述无限非交换群 f为辫群， 所述辫群为具有子群成员不可解的 Mihailova子群， 且私钥在 Mihailova 子群中选取； 所述无限非交换群 G取指数为《^12的辫群 并由如下呈示所定义 的群：

Β_η=(σι, ( , ..., σ„_ιΙ OiOj₌OjOi , \i-\>2, ₊₁ = _{+1 +1}, \<ά<η-2 >, 辫群 ¾含有如下两个子群： 令 =L«/2」为不大于 nil的最大整数， 辫群 B_n的左辫子 LB_n和右辫子 RB_n 分别为

a_m+2, ..., σ„_ι >

^P, 分另l为由 , O2, <_m-\ ^Om+l, <7_m+2, On-l生成的子群， 并且， 对于任 意的 LB_n和任意的 be RB_n, 有 ab=ba,所述的 G的子群 A即取为 LB_n,, 而 G的子群 即取为 当《^12时， /^„和 ^„分别含有一个与 F₂xF₂同构的子群， 即两个秩为 2的自由群的直积同构的子群：

LA=( <7 _m-5², <7 _m-4², <7 _m-2 , (7_m-\ )< LB_n

和

RA=( <7 _m+\ , <7 _m+2 , O m+ , <^ m+5²)≤ RBn ； 再由两个元素生成的其字问题不可解的有限呈示群 H, 构造 M的一个 Mihailova子群 M_M(H)和 RA的 Mihailova子群

下方即为 M_M(H)的 56个生成元， 其中 i=m—5; 而当令 = +l, 便可得到 MRA(H)的 56个生成元: ， « ' i =1 ²， ···， ²⁷ 而 27个&,为：

「 (r ' , a 1 ' -L _;~'j σ'-' * fff

^Μ^ : <^^; ^· ύ- _s

u「c1. h二l〜〜」〜〜

将上述每一 Sy中的所有 σ,换成 σ_ί+3, 所有 σ,₊₁换成 _i†4便得到对应的 27个 7>,戶1'2, .."27。

10. 根据权利要求 9所述的建立抗量子计算攻击的公钥密码的方法， 其 特征在于：所述辫群 ?„的指数《≥12； 子群为 =/¾和 ^? ； a_u a₂, c c₂

6 选取 足其乘只 <¾6·^( 2¾■不小于 256 t匕特或 «10, "20, t'lo, C'20的选取满足其 乘积 a_u>c_l0ga_2Oc'₂₀不小于 256比特； 私钥 b b₂, d_h d₂或 b_w, b₂o, d_nh d₂₀均不 小于 256比特； 保护层元素 b₃, b₄, ck, rf₄或 b_M, b_4Q, d₃₀, d₄₀均不小于 128比特。