基于LWE问题设计的密码方案的安全评测方法技术

技术编号：40846311 阅读：7 留言：0更新日期：2024-04-01 15:14

一种基于LWE问题设计的密码方案的安全评测方法，通过提取待测密码方案的困难问题选取参数，通过宽度优先搜索，模拟并遍历不同BKZ策略组合下的时间开销，选出其中时间开销最低的策略，得到原密码方案的安全比特值。本发明专利技术对于LWE所转化的uSVP问题的策略生成算法优化原两步求解，使用一个时间开销更低的策略去进行短向量的求解。将本发明专利技术应用于基于LWE问题设计的公钥密码方案的安全比特估计方法中，将得到更低的估计安全比特，帮助调整基于LWE问题设计的公钥密码方案的参数选取，保证其在本发明专利技术所提出的更低安全比特估计方法下仍然安全。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及的是一种信息安全领域的技术，具体是一种适用于后量子密码方案的基于错误学习(lwe)问题设计的密码方案的安全评测方法。

技术介绍

1、在公钥密码体制中，每个公钥密码方案都需要确定其安全强度，安全强度往往由安全比特来度量，帮助公钥密码在实际应用过程中选取合适的参数，平衡安全与效率。公钥密码方案的安全比特可根据该密码方案所对应数学困难问题的最佳求解方法的时空消耗取对数得到。现有基于lwe问题设计的公钥密码方案的安全比特估计方法的缺陷和不足在于：没有考虑策略选取对lwe问题求解算法的效率优化，导致当前的基于lwe问题设计的密码方案的安全评测方法得到的安全比特估计偏高；若基于lwe问题设计的密码方案使用现有安全评测方法进行方案参数选取，无法达到目标安全性能。

技术实现思路

1、本专利技术针对现有技术存在的不足，提出一种基于lwe问题设计的密码方案的安全评测方法，对于lwe所转化的usvp问题的策略生成算法优化原两步求解，使用一个时间开销更低的策略去进行短向量的求解。将本专利技术应用于基于lwe问题设计的公钥密码方案的安全比特估计方法中，将得到更低的估计安全比特，帮助调整基于lwe问题设计的公钥密码方案的参数选取，保证其在本专利技术所提出的更低安全比特估计方法下仍然安全。

2、本专利技术是通过以下技术方案实现的：

3、本专利技术涉及一种基于lwe问题设计的密码方案的安全评测方法，通过提取待测密码方案的困难问题选取参数，通过宽度优先搜索，模拟并遍历不同bkz

4、所述的密码方案，包括但不限于kyber或dilithium。

5、所述的困难问题选取参数包括：样本维数n、样本量m、噪声向量标准差σ、模数q。

6、所述的宽度优先搜索是指：对于输入样本维数n，样本量m和模数q和lwe误差参数σ，基于kannan嵌入计算usvp问题构造格计算归一化的格体积v＝mlnq-(m+n)·lnσ及格维数d＝m+n+1；根据格体积和格维数，使用gsa假设生成初始格基质量其中：δ(·)函数为root hermite值，优选δ(2)＝1.021900。

7、所述的时间开销最低的策略，通过以下方式得到：

8、1)设bs为策略列表，用于存储策略bs，初始状态下bs为空集，策略bs由5个成员组成，分别为：rr,s,tpnjbkzs和psc，其中：rr为以格基初始质量rr0为输入，当前策略下模拟运行pnjbkz后得到的新格基质量，由全体格基对应正交基长度组成，s用于存储bs下的具体策略内容[(β1,j1),…,(βn,jn)]，βi为所执行pnjbkz的分块大小，ji为其跳步大小，tpnjbkzs为当前分块策略下pnjbkz的时间开销估计；psc(·)为当前分块策略下需作用的筛法平均时间开销估计，其输入为格基质量。

9、所述的具体策略内容(βi,ji)满足：对于相同输入格基质量，作用相同次数pnjbkz-(βi-1,ji-1)或pnjbkz-(βi,ji)，设得到的约减后格基质量分别为rr1和rr2，其对应的筛法时间开销估计psc(rr1)≥psc(rr2)。

10、所述的策略bs的上述各项参数均以bs.*检索(如bs.rr)。根据格基初始质量rr0，生成初始策略bs0＝{rr0,[],0,psc(rr0)}。

11、2)初始策略列表bs＝{bs0}，按以下方式遍历该列表中的每个策略bs：

12、2.1)枚举bs的所有子策略bs*，其中每个子策略bs*的具体策略内容bs*.s＝bs.s∪[(β,j)]，其中：策略bs包含策略bs.s下完成bkz约减后进入筛法的时间开销估计psc(pnjbkzsim(bs.rr,β,j))<bs.psc，β≥30,j≤d4f(β)/2，β为所使用bkz算法分块大小，j为bkz算法的分块位移，s为具体策略内容，

13、所述的d4f(β)取值方式参考自纯bkz下的安全比特估计方案[8]提供的开源代码:https://github.com/lducas/leaky-lwe-estimator。

14、2.2)计算每个子策略bs*的格基对应正交基长度经过bkz模拟器后得到的新的格基对应正交基长度bs*.rr＝pnjbkzsim(bs.rr,β,j)，bs*.tpnjbkzs＝bs.tpnjbkzs+tpnjbkz(β,j),bs*.psc＝psc(bs*.rr)，其中：rr为格基对应正交基长度经过bkz模拟器后得到的新的格基对应正交基长度。

15、2.3)对子策略bs*，搜索初始策略列表bs，确定是否存在一个bs'∈bs，使得bs*.psc≥bs'.psc并且bs*.tpnjbkzs≥bs'.tpnjbkzs：当不存在时，搜索所有的bs”∈bs，使得bs*.psc≤bs”.psc并且bs*.tpnjbkzs≤bs”.tpnjbkzs，将满足条件的bs”从列表bs中删去，并将bs*加入bs中；当存在时，跳过该子策略bs*不将其加入列表bs。

16、2.4)完成对列表bs中所有策略的处理后，再次对列表bs中全体策略bs进行搜索，返回令bs.tpnjbkzs+bs.psc最低的策略。

17、所述的bkz策略为二元组(β,j)组成的序列，其中：β为分块规模，j为分块位移；在策略生成过程中，将每个策略扩展为：bs＝(rr,s,tpnjbkzs,psc)，其中：s为bkz策略，rr为执行策略为s的bkz算法后，产生的格基质量，tpnjbkzs为执行策略为s的bkz算法的预估时间，psc：＝psc(rr,σ)为从质量为rr的格基出发，成功求解lwe问题的预估时间。为执行单轮参数为(β,j)的bkz算法的预估时间，pnjbkzsim(rr,β,j)为从质量为rr的格基出发，执行参数为β,j的单轮bkz得到的预估格基质量。其中：tpump(β)为渐进筛法pump的时间开销估计.

18、所述的bs*.rr＝pnjbkzsim(bs.rr,β,j)按以下方式估算：

19、a)输入格基初始质量bs.rr＝(l0,l1,…,ld-1)，输出格基质量为bs*.rr＝(l'0,l'1,…,l'd-1)，其中：li和li'均为格基对应的正交基中第i个分量长度的对数。

20、b)依次模拟第i个格基质量为其中：β为bkz分块大小，其中：

21、所述的bs.psc按以下方式估算：

22、i)设dsvp为渐进筛法pump的维数，则dsvp维pump求解目标向量的成功率通过以下公式估计：其中：σ为lwe误差参数，bs.rr＝(l0,l1,…,ld-1)，卡方分布概率密度函数为其中x可取任意实数。

23、ii)当给定求解成功率p(通常可选p＝0.999)时，将满足p(dsvp)≥p的最小dsvp作为该成功率下对应投影子格维数作为筛法维数。...

【技术保护点】

1.一种基于LWE问题设计的密码方案的安全评测方法，其特征在于，通过提取待测密码方案的困难问题选取参数，通过宽度优先搜索，模拟并遍历不同BKZ策略组合下的时间开销，选出其中时间开销最低的策略，得到原密码方案的安全比特值。

2.根据权利要求1所述的基于LWE问题设计的密码方案的安全评测方法，其特征是，所述的宽度优先搜索是指：对于输入样本维数n，样本量m和模数q和LWE误差参数σ，基于Kannan嵌入计算uSVP问题构造格计算归一化的格体积V＝m·ln q-(m+n)·lnσ及格维数d＝m+n+1；根据格体积和格维数，使用GSA假设生成初始格基质量其中：δ(·)函数为root Hermite值。

3.根据权利要求1所述的基于LWE问题设计的密码方案的安全评测方法，其特征是，所述的时间开销最低的策略，通过以下方式得到：

4.根据权利要求3所述的基于LWE问题设计的密码方案的安全评测方法，其特征是，所述的具体策略内容(βi,Ji)满足：对于相同输入格基质量，作用相同次数PnjBKZ-(βi-1,Ji-1)或PnjBKZ-(βi,Ji)，设得到的约减后格

5.根据权利要求3所述的基于LWE问题设计的密码方案的安全评测方法，其特征是，所述的BKZ策略为二元组(β,J)组成的序列，其中：β为分块规模，J为分块位移；在策略生成过程中，将每个策略扩展为：bs＝(rr,S,TPnjBKZs,PSC)，其中：S为BKZ策略，rr为执行策略为S的BKZ算法后，产生的格基质量，TPnjBKZs为执行策略为S的BKZ算法的预估时间，PSC：＝PSC(rr,σ)为从质量为rr的格基出发，成功求解LWE问题的预估时间，为执行单轮参数为(β,J)的BKZ算法的预估时间，PnjBKZSim(rr,β,J)为从质量为rr的格基出发，执行参数为β,J的单轮BKZ得到的预估格基质量，TPump(β)为渐进筛法Pump的时间开销估计。

6.根据权利要求3所述的基于LWE问题设计的密码方案的安全评测方法，其特征是，所述的bs*.rr＝PnjBKZSim(bs.rr,β,J)按以下方式估算：

7.根据权利要求3所述的基于LWE问题设计的密码方案的安全评测方法，其特征是，所述的bs.PSC按以下方式估算：

...

【技术特征摘要】

1.一种基于lwe问题设计的密码方案的安全评测方法，其特征在于，通过提取待测密码方案的困难问题选取参数，通过宽度优先搜索，模拟并遍历不同bkz策略组合下的时间开销，选出其中时间开销最低的策略，得到原密码方案的安全比特值。

2.根据权利要求1所述的基于lwe问题设计的密码方案的安全评测方法，其特征是，所述的宽度优先搜索是指：对于输入样本维数n，样本量m和模数q和lwe误差参数σ，基于kannan嵌入计算usvp问题构造格计算归一化的格体积v＝m·ln q-(m+n)·lnσ及格维数d＝m+n+1；根据格体积和格维数，使用gsa假设生成初始格基质量其中：δ(·)函数为root hermite值。

3.根据权利要求1所述的基于lwe问题设计的密码方案的安全评测方法，其特征是，所述的时间开销最低的策略，通过以下方式得到：

4.根据权利要求3所述的基于lwe问题设计的密码方案的安全评测方法，其特征是，所述的具体策略内容(βi,ji)满足：对于相同输入格基质量，作用相同次数pnjbkz-(βi-1,ji-1)或pnjbkz-(βi,ji)，设得到的约减后格基质量分别为rr1和rr2，其...

【专利技术属性】
技术研发人员：夏雯雯，王镭璋，王更，谷大武，王保仓，
申请(专利权)人：上海交通大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人