本发明专利技术公开了一种基于格上错误学习问题的密钥协商方法,其步骤包括:1)协调双方Alice、Bob基于密钥交换协议计算出共享秘密值σ1和σ2;2)Bob根据计算所得共享秘密值σ2计算出辅助协调信息v发送给Alice,并通过k
【技术实现步骤摘要】
一种基于格上错误学习问题的密钥协商方法
[0001]本专利技术涉及一种基于格上错误学习问题的密钥协商方法,使得通信双方通过一个系数一次能够协商出2位密钥。
技术介绍
[0002]互联网在社会各个领域的应用广泛,引起了领域技术的革新,信息安全受到高度重视,而这其中,面向数据安全的密码的作用显得尤为突出。在一条不安全的信道上,通信双方经常需要进行大规模的数据传输,这就需要双方能协商出一个公共的会话密钥。为了实现这样的目的,在实践中通常使用类似DH协议一类算法进行设计密钥交换协议。
[0003]而传统的密钥交换协议主要基于传统数论难题(大数分解问题和计算离散对数问题)构建的密钥交换协议,至今,经典计算机对这些数学难题没有好的解法.因此,RSA密码、椭圆曲线密码等经典密码算法仍然是实际应用中的主流。但是,量子算法在多项式时间内可以将离散对数、大整数分解等问题求解。经典密码的安全性随着量子计算机的技术发展受到的威胁越来越大。
[0004]例如:在1999年,Shor提出了一种在多项式时间内运行的整数分解量子算法。该算法可用于在理想的量子计算机上破解RSA算法,因为RSA的安全性取决于大整数分解很难这一事实。类似地,Grover提出的量子算法可用于在多项式时间内搜索非结构化数据库。因此,在目前量子攻击不断推向实际化的时代。因此亟需设计能抵抗量子攻击的密钥交换算法。Ajtai早在1996年时第一次提出在格上的困难问题的基础上去构造密码方案的思路,并证明格上平均情况下的困难问题可以归约到最坏情况下,进一步支撑了格密码的安全。由于格密码特殊结构,多数都能够在格密码中实现。格密码之所以具有通用性,是因为其存在几大优势。一,根据现有的理论发展,在量子计算条件下,多种基于格的困难问题还未发现多项式时间的求解算法,这是其能够抵御量子攻击的前提;二,格上密码算法的安全性可以归约到格上困难问题最坏情形下的困难性,因此基于格设计的密码体制具有较高的安全性;三,格上密码的计算仅仅需要向量的加法和乘法以及高斯取样等,运算速率高。
[0005]与原始的格上困难问题相比较,错误学习问题(LWE)及其变形问题(Ring
‑
LWE,Module
‑
LWE)在构建密钥交换方案时更方便。Regev在2005年提出了LWE问题,判定型LWE问题的困难性取决于敌手对随机均匀取样以及LWE取样的不可区分性。但是,使用LWE问题构建协议时,由于涉及到大矩阵的计算与传输,往往致使方案的通信成本太高、运行效率太低,实用性较差。为了解决错误学习问题构建密码方案的实用性障碍,2010年,Lyubashevsky,Peikert和Regev三人提出了环上错误学习(Ring
‑
LWE)问题,将代数环结构引入错误学习问题,使得通信成本大大降低、性能显著提升。判定型Ring
‑
LWE问题的困难性取决于环上随机均匀取样(A,U)∈R
q
×
R
q
及错误学习取样(a,as+e)∈R
q
×
R
q
的不可区分性。尽管代数结构的引入使密码系统的运行效率得到了明显的提升,但是简单的代数结构同时也引起了对其弱安全性的担忧。
2015年,Langlois和Stele对理想格和一般格进行了推广,提出了模上错误学习问题(Module
‑
LWE)。模(Module)是环和向量空间的一般化,判定型Module
‑
LWE问题的困难性则取决于敌手对模上随机均匀取样(A,u)∈R
qd
×
d
×
R
qd
及错误学习取样(A,b=As+e)∈R
qd
×
d
×
R
qd
的不可区分性。在实际的应用中,相较于LWE和Ring
‑
LWE问题,利用Module
‑
LWE来构建密钥交换方案则更加灵活,只需要改变环向量的维度d便可实现安全性与性能的平衡,因此方案具有可复用性及可扩展性。
[0006]基于上述几种困难性问题设计的密钥交换协议,虽然在安全性上得到了很好的提升,但是双方计算出的相近秘密信息σ1和σ2通常需要进行一定范围的协调,才能最终得到相同的公共密钥。这就需要定义一系列错误协调机制,完成公共密钥位的协商。目前主流的错误协调机制主要分为两种类别:利用高位信息进行协调(例如Peikert错误协调机制)和利用低位信息进行协调(例如:Ding错误协调机制)。使用Peikert的错误协调机制能够有效的利用高位信息进行密钥协商工作,其能完成很大范围的容错进行协商。使用Ding的错误协调机制能够很好的利用低位信息进行协商,拥有更大的容错范围及更快的运行速度。目前较为流行的错误协调机制有丁氏错误协调、Peikert错误协调、格解码以及OKCN/AKCN。
[0007]综上所述,格上的错误学习问题引入了错误项,因此进行协商用到的错误协调机制来消除错误。现有的技术中存在如下不足:其一,目前的密钥协商机制只能根据高位或低位信息进行协商,会造成信息利用不完善;其二,对于同样长度大小的秘密信息,没法实现在同样大小信息中提取更多位信息的操作,或者说提取更多位信息会产生很大的失败率;其三,很多协商高位的算法需要大量的计算,导致在单位bit下的协商效率不高等问题。
技术实现思路
[0008]在之前的基于格问题设计的后量子密钥协商协议中,采用的错误协调机制大多数只能完成针对双方计算的秘密信息的高位或低位进行计算来协商出公共密钥。这样的做法会导致算法执行效率不是很高,浪费大量的信息。同时在有限的秘密信息中不能提取出更多公共密钥。
[0009]针对现阶段技术上述存在的问题,本专利技术提供了一种基于格上错误学习问题的密钥协商方法。本专利技术提出了Speeky Error reconciliation(SER)并应用于多种协议中进行协调。其是一种安全高效的错误协调机制,能够根据共享的辅助协调信息,以及协商出的近似秘密值的高低位信息,协商出2个比特的秘密值。
[0010]本方案中,协调双方为Alice、Bob,双方通过对之前计算出的共享秘密值σ1和σ2进行协调出公共的密钥。Bob根据v
←
Signal(σ2)计算出辅助协调值v发送给Alice,并通过k
′←
Neg(σ2,v,params),计算出k
′
作为公共密钥。Alice通过k
←
Com(σ1,v,params)计算出k作为公共密钥。此时k=k
′
,完成协调。
[0011]本专利技术的技术方案为:
[0012]一种基于格上错误学习问题的密钥协商方法,其步骤包括:
[0013]1)协调双方Alice、Bob基于密钥交换协议计算出共享秘密值σ1和σ2;
[0014]2)Bob根据计算所得共享秘密值σ2计算出辅助协调本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于格上错误学习问题的密钥协商方法,其步骤包括:1)协调双方Alice、Bob基于密钥交换协议计算出共享秘密值σ1和σ2;2)Bob根据计算所得共享秘密值σ2计算出辅助协调信息v发送给Alice,并通过k
′←
Neg(σ2,v,q,g)计算出k
′
作为公共密钥;Alice根据计算所得共享秘密值σ1通过k
←
Com(σ1,v,q,g)计算出k作为公共密钥;其中,q为参数整体参数的模数,g为二进制辅助协调信息v的位数。2.根据权利要求1所述的方法,其特征在于,通过v
←
Signal(σ2)计算得到所述辅助协调信息v;其中,3.根据权利要求2所述的方法,其特征在于,计算得到k
′
的方法为:首先,计算辅助信息v0;其中,Z
q
={0,
…
,q
‑
1...
【专利技术属性】
技术研发人员:顾小卓,刘凯博,任培欣,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。