[发明专利]一种基于格的公钥加密方法

说明书

本发明公开了一种基于格的公钥加密方法。本发明首先提出一类非对称模带错误学习(AMLWE)数学困难问题，也提供了该类数学困难问题的变种和一般化定义。通过基于AMLWE数学困难问题，本发明提出了一种格上选择明文安全的公钥加密方法。基于该加密方法，本发明也提供了选择密文安全的密钥封装机制以及选择密文安全的公钥加密方法。本发明设计的公钥加密方法和密钥封装机制具有可证明安全、抵抗量子计算机攻击、公钥和密文长度短、计算效率高、参数选取灵活等特点和优势。利用通用的转换方法，本发明也提供了(认证)密钥交换协议。

技术领域

本发明属于密码学中的公钥加密领域，涉及使用格密码学中的相关技术，具体表现为一种基于格的公钥加密方法，能抵抗量子计算机攻击。

背景技术

公钥加密已在许多实际应用中得到广泛部署。根据Shor算法，当量子计算机出现时，已部署的基于RSA或椭圆曲线的公钥加密方法将不再安全。量子计算机的快速发展促使我们设计抗量子安全的公钥加密方法。当前，主流的抗量子安全公钥加密方法是基于格或者编码上的数学困难问题。从效率和安全性综合来看，基于格的公钥加密方法是相当有前途的候选方法之一，并得到了国内外学者的广泛研究。在数学中，格是一种离散的加法子群。由于特殊的代数结构，格上有很多难以求解的困难问题，例如最短向量问题。基于格的公钥加密方法是指基于格上数学困难问题设计的公钥加密方法，具有抵抗量子计算机攻击的能力。

公钥加密方法的设计和安全性是建立在数学困难问题之上的。当前，格上公钥加密方法的安全性大多是建立在Regev提出的带错误学习问题(Learning with Errors，LWE)的困难性之上。简单来说，带错误的学习问题与求解模整数方程有关系。令为正整数，为正实数，是以α为参数的噪音分布(通常为高斯分布，或与其相近的二项分布)。计算性带错误的学习问题LWE_n,m,q,α目标是对于随机选择的矩阵向量以及噪音向量给定样本求解秘密向量判定性LWE问题是区分(A,b＝As+e)和上均匀随机的元组。在一定参数下，判定性LWE问题和计算性LWE问题在多项式时间意义下是等价的。

在特定参数下，求解LWE问题在平均情况下的复杂度比求解格上某些问题(例如，最短向量问题)在最坏情况下的复杂度还高。这种平均困难性到最坏困难性的联系特性实际上是基于格上困难问题的密码方法相对于基于其他困难问题的密码方法独有的优势之一。由于目前已知的格上困难问题的量子求解算法与传统经典求解算法相比在计算复杂度上并没有本质的降低，以至于大多数国内外研究学者都倾向于相信格上问题是困难的，以及基于格上困难问题设计的密码方法能够抵抗量子计算机攻击。此外，当秘密向量s并不是随机均匀地选自于时，相应LWE的变种问题(称之为正规形LWE问题)也是困难的。特别地，当秘密向量与噪音向量e选自于相同的分布时，正规形LWE问题和标准的LWE问题在多项式时间的意义上是等价的。由于正规形LWE问题能够更好地控制噪音增长，因此在文献中被广泛用于设计公钥加密方法。

为了获得更好的效率，环上的LWE(RLWE)困难问题也被提出。RLWE问题定义在n-1次多项式环R_q上。给定正实数以及定义RLWE分布为计算性RLWE数学困难问题RLWE_n,q,l,α是指随机选取在有l个样本的条件下计算出秘密值判定性RLWE数学困难问题的目标是区分分布B_s,α和上的均匀分布。然而，RLWE问题使用了特殊的环结构，而这种环结构可能被敌手利用来求解相应的数学困难问题。从而，为了安全性和效率的折中，模LWE(MLWE)数学困难问题被密码研究者提出。给定正整数以及正实数对于随机选取的矩阵和向量计算性MLWE问题MLWE_n,q,k,l,α的目标是给定样本输出秘密向量判定性MLWE问题的目标是区分样本(A,b＝As+e)和选自于上均匀分布的元组。

发明内容

针对当前公钥加密技术中存在的不足，本发明的目的在于提供一种基于格的公钥加密方法。

本发明包括以下四个方面的内容：

1)定义非对称MLWE(即AMLWE)数学困难问题；