格基加密算法解密错误率的估算方法、介质、设备及系统技术方案

本发明专利技术公开了一种格基加密算法解密错误率的估算方法、介质、设备及系统，属于密码安全技术领域，包括步骤：利用格密码算法自身参数确定估算解密错误率所需的浮点数据类型；运行启发式粗估密码检测程序代码或计算设备再以此给出精细计算中可截除的小概率临界值，最后运行精细估算密码检测程序代码或计算设备快速获取解密错误率目标值。本发明专利技术能明确所采用的计算数据类型，确保机器误差在输入指定的精度范围内对解密出错概率对估算结果不造成影响；能确保分布表的截除部分数据在输入指定的精度范围内对解密出错概率估算结果不造成影响；能加快算法解密出错概率的估算过程。能加快算法解密出错概率的估算过程。能加快算法解密出错概率的估算过程。

【技术实现步骤摘要】
格基加密算法解密错误率的估算方法、介质、设备及系统


[0001]本专利技术涉及密码安全
，更为具体的，涉及一种格基加密算法解密错误率的估算方法、介质、设备及系统。

技术介绍

[0002]量子计算严重威胁现有公钥密码的安全性[1]，所以密码领域正在研究后量子密码并开展标准化工作[2]，以期在量子计算机能够实用的时候仍然保护信息的安全。在后量子密码中，格基加密是极为重要的一种技术。2022年7月美国国家标准技术研究院(NIST)公布的唯一后量子加密算法CRYSTALS
‑
Kyber[4]就是格基加密算法[3]，进入NIST后量子密码标准化第三轮评估的加密SABER[6]、FrodoKEM[7]等也是格基加密算法。
[0003]现有Lindner
‑
Peikert格基加密算法的框架下[8]，包括等Kyber[4]、Saber[6]、FrodoKEM[7]等算法，算法的解密存在出错概率，而且解密出错概率在一定程度上影响密码算法的安全性[8]。因此，有必要准确并快速地估算此类格基加密算法的解密错误率。...

【技术保护点】

【技术特征摘要】
1.一种格基加密算法解密错误率的估算方法，其特征在于，包括如下步骤：利用格密码算法自身参数确定估算解密错误率所需的浮点数据类型；运行启发式粗估密码检测程序代码或计算设备再以此给出精细计算中可截除的小概率临界值，最后运行精细估算密码检测程序代码或计算设备快速获取解密错误率目标值。2.根据权利要求1所述的格基加密算法解密错误率的估算方法，其特征在于，所述利用格密码算法自身参数确定估算解密错误率所需的浮点数据类型；利用格密码算法自身参数确定估算解密错误率所需的浮点数据类型；运行启发式粗估密码检测程序代码或计算设备再以此给出精细计算中可截除的小概率临界值，最后运行精细估算密码检测程序代码或计算设备快速获取解密错误率目标值，包括如下子步骤：步骤S0：开始：向密码检测程序代码或计算设备输入格密码算法的模数q，表示私钥或随机扰动所对应的分布表D
e
，密码运算决定的随机变量s1e2‑
e1s2的累加次数r，判断解密是否出错的边界值b，每次加密运算最终的明文输出单元数n，解密错误率目标值的相对误差上界ε
r
或绝对误差上界ε
a
；步骤S1：根据分布表的计算方式确定估计边界指标m0，根据分布表D
e
的计算方式确定估计边界指标m1，计算衡量扰动误差扩张速度的指标m＝(m0+q)r
‑
q+m1；步骤S2：选择密码检测程序代码或计算设备的浮点运算数据类型，始终使得浮点运算的相对误差精度ε
M
不超过或者不超过步骤S3：计算分布表步骤S4：粗估被检测密码算法单个输出单元解密出错的概率p
clt
；步骤S5：开始试算被检测密码算法单个输出单元解密出错的概率；设置截取的上界为或者或者步骤S6：选择密码检测程序代码或计算设备的浮点运算数据类型，使得机器能表示的正规的最小正浮点数不超过或者步骤S7：以截取的上界为B
abscnt
或者B
relcnt
，使用模拟计算被检测密码算法单个输出单元解密出错的概率p
abscnt
或者p
relcnt
；步骤S8：开始核算被检测密码算法单个输出单元解密出错的概率，设置截取的上界为：或者，步骤S9：如果B
abscnf
≥B
abscnt
或者B
relcnf
≥B
relcnt
，那么设置p
abscnf
＝
abscnt
或者p
relcnf
＝
relcnt
，进入步骤S12；步骤S10：选择密码检测程序代码或计算设备的浮点运算数据类型，使得计算设备能表示的正规的最小正浮点数不超过或者步骤S11：以截取的上界为B
abscnf
或者B
relcnf
，使用模拟计算被检测密码算法单个输出单元解密出错的概率p
abscnf
或者p
relcnf
；
步骤S12：根据输出比特的独立性假设，输出被检测密码算法的解密出错概率的目标值log2(np
abscnf
)或者log2(np
relcnf
)，结束。3.根据权利要求2所述的格基加密算法解密错误率的估算方法，其特征在于，在步骤S3中，所述计算分布表包括如下子步骤：表示模数q的剩余类环，取代表元{0,1,
…
,q
‑
1}或{
‑
[q/2],
…
,[(q
‑
1)/2]}；步骤S31：计算分布表对任意对任意计算对任意对任意步骤S32：计算分布表对任意对任意步骤S33：计算分布表的均值μ0、方差σ0，，4.根据权利要求2所述的格基加密算法解密错误率的估算方法，其特征在于，在步骤4中，所述粗估被检测密码算法单个输出单元解密出错的概率p
clt
，包括如下子步骤：步骤S41：选择采用单个输出单元解密出错概率的下界，或者选择采用中心极限定理来预估被检测密码算法单个输出单元解密出错概率的逼近值；如果选择采用前者，那么进入步骤S42；如果选择中心极限定理，那么进入步骤S43；步骤S42：估计单个输出单元解密出错的概率的下界或根据具体条件选择不等式，再将其设置为单个输出单元解密出错的概率的预估值p
clt
；步骤S43：利用中心极限定理或根据具体条件选择中心极限定理的使用方式估计单个输出单元解密出错的概率的逼近值p
clt
。5.根据权利要求2所述的格基加密算法解密错误率的估算方法，其特征在于，步骤S7包括如下步骤：步骤S71：输入截取的上界B，分布表和D
e
；
步骤S72：计算r的不含最高位比特的二进制表示序列r
k
‑1…
r1r0，即满足r＝r0+2r1+
…2k<...

【专利技术属性】
技术研发人员：王林，王洋，贾惠文，庄金成，林志强，程蕾晓，余玉银，黄巧龙，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：