[发明专利]一种改进的基于格的密钥交换协议算法

权利要求书

1.一种改进的基于格的密钥交换协议算法，其特征在于：包括步骤一：设常数m≥2，λ＝O(n)，q＝O(2^λmnβ²),其中，σ是M-DLWE定义中的安全参数，设X＝{z∈R^m:||z_i||≤β,i∈[m]}，其中z_i∈R和||z_i||是系数向量的范数z_i；在下文中，我们为R_q使用绝对最小残差系统，也就是说，每个系数a_i其中a∈R_q，都满足|a_i|＜q/2；

步骤二：选择一个m阶的随机矩阵通信方一和通信方二都认可；

步骤三：发布信息：

(1)通信方一选择计算a＝(Ax+e₁)mod q并发送a给通信方二；

(2)通信方二选择计算并将b发送给通信方一；

步骤四：生成共享秘钥：

(1)通信方一生成一个共享密钥k₁＝MSB(b^Tx mod q)；

(2)通信方二生成一个共享密钥k₂＝MSB(y^Ta mod q)。

2.根据权利要求1所述的改进的基于格的密钥交换协议算法，其特征在于：所述s＝MSB(c)为提取函数，定义为c的系数的最高有效位串，c∈R_q，如果q/4＜|c_j|＜q/2,j∈[n]，那么s_j＝1，否则s_j＝0。

3.根据权利要求1所述的改进的基于格的密钥交换协议算法，其特征在于：还包括步骤五：证明k₁是否等于k₂；因为那么又因为可得出:和

所以，同样，由a＝(Ax+e₁)mod q，可得出：c₂＝y^Ta＝y^TAx+y^Te₁ mod q和y^Te₁≤mnβ²；因为q＝O(2^λmnβ²)且y^TAx≈q。因此，每个系数c₁,c₂最重要的λ比特位会以压倒性概率相同,因此，k_1,j≠k_2,j,j∈[n]概率大约是O(2^-λ),即k₁≠k₂概率至多是O(n2^-λ)。