一种后量子安全的签密算法的制作方法

本发明涉及签密算法
技术领域：
：，尤其涉及一种后量子安全的签密算法。
背景技术：
：：在数字通信中，隐私性、数据完整性和认证是要实现的主要目标。隐私性是通过公钥加密实现的，而数据完整性和认证是由签名实现。签密是一种基本密码原语，可以同时实现公钥加密和签名。但是现有的签密是基于e1gamal和双线性对的，其安全性依赖diffie-hellman假设。为了实现后量子安全的签密方案，李发根等人利用原像可抽样函数和格基签名算法构造了一个随机预言机模型(rom)下的基于格的签密方案。王凤和等人也利用原像可抽样函数和已有的(indistinguishabilityagainstadaptivechosenciphertextattacks，ind-cca2)安全的加密方案构造了一个基于格的后量子安全的签密方案，该方案是在rom下可证明安全的。2013年，闫建华等人构造了一个标准模型下安全的基于格的签密方案。在该方案中，闫建华等人首先使用micciancio和peikert提出的陷门生成技术构造了一个变色龙哈希函数(chameleonhashfunction)，利用这个变色龙哈希函数将现有的静态选择明文攻击下存在不可伪造安全的(existentialunforgeabilityunderstaticchosen-messageattack，euf-scma)签名方案提升为适应性选择明文攻击下强存在不可伪造安全的(existentialunforgeabilityunderadaptivechosen-messageattack，euf-acma)签名方案，并且利用一个cca安全的对称加密方案和抗碰撞的杂凑函数将现有的ind-cca1安全的加密方案提升到ind-cca2安全性。2014年，路秀华等人构造了标准模型下安全的基于格的签密方案，该方案使用boyen的标准模型下suf-acma安全的签名方案，并且采用双模式加密(bimodeencryption)方法破除了密文的延展性(malleability)。向新银等人设计了一个格上rom下基于属性的签密方案。最近，路秀华等人在无陷门签名基础上构造了一个ind-cpa安全的格基签密方案，并结合fujisaki-okamoto的转换技术将这个ind-cpa安全的签密方案提升为rom下ind-cca2安全的基于格的签密方案。虽然rom简化了安全证明，但canetti等人指出当随机预言机被具体化为某个hash函数时，随机预言机模型下可证明安全的方案可能是不安全的。无独有偶，leurent和nguyen也指出随机预言机模型存在理论缺陷。因此，设计标准模型下安全的基于格的签密方案是一项重要的目标。sato和shikata提出了一个基于格密码的标准模型下签密方案。g′erard和merckx构造了一个基于格密码的签密方案。liu等人于2019年提出了一个随机预言机模型下基于格密码的签密。zhang等人构造了一个随机预言机模型下基于格密码的多接收者的签密。下列已有的陷门生成算法和抽样算法是作为本发明调用的子算法：(陷门基生成算法)存在ppt算法trapgen，输入参数n，σ＝1，和奇素数q，且满足q≡3mod8，其中σ是生成矩阵选取的真随机向量的列数，整数令m＝m1+m2，p＝2q-n/2-q-n，随机选取算法以大于等于(1-2q-n/2+q-n)的概率输出和矩阵ta∈rm×m，其中是满秩矩阵，是格λ⊥(rot(at)t)的陷门基，满足(1)a与一致分布的统计距离可忽略；(2)若m1，m2≥log2n，则(左抽样算法)设n为2的幂，素数q＞4n，且满足q≡3mod8。存在随机算法e←sampleleft(a，b，u，ta，σ)输入向量其中rot(at)t，为满秩矩阵，u∈rq，矩阵ta∈rk×k使得是格λ⊥(rot(at)t)的陷门基，高斯参数输出向量即[a，b]et＝u，(右抽样算法)存在随机算法e←sampleright(a，gb，r，y，u，s)输入向量其中b＝ar+ygb，使得rot(at)t，是满秩矩阵，u∈rq，矩阵r∈rm×m，使得是λ⊥(rot(gb))的基，高斯参数输出向量e∈r2m，其分布与统计接近。也即是[a|b]et＝u，(盆景树算法)设n为2的幂，素数q＞4n，且满足q≡3mod8。存在确定多项式时间算法extbasis(ta，c＝[a，b])输入向量其中为满秩矩阵，ta∈rm×m满足是格λ⊥(rot(at)t)的陷门基，输出矩阵其中是格λ⊥([rot(at)t，rot(bt)t])的陷门基，且||tc||gs＝||ta||gs。(原像可抽样算法)samplepre(a，ta，u，σ)输入及其陷门基向量u∈rq，参数σ，该算法首先选取利用线性代数计算出向量其满足at＝u(modq)。然后，输出向量其服从模格上离散高斯分布设公开矩阵gb满足并且设k＝k′，b＝2。存在确定多项式时间算法输入u∈rq，输出满足gbp＝u。技术实现要素：本发明的目的是提供一种后量子安全的签密算法，以解决上述
背景技术：
：中提出的问题。引入封装的设计思想，结合划分技术、盆景树技术和调和技术实现cca2安全性，利用封闭猜测(confinedguessing)技术实现euf-acma安全性，在计算和效率两方面取得平衡。为了实现上述目的，本发明的技术方案是：一种后量子安全的签密算法，包括以下步骤：s1、系统设置setup(1n)：设1n为安全参数，生成系统参数pp如下：(6)奇素数q满足q≡3mod8，m＝2k，κ≥2，φm(x)＝xm/2+1是m阶分圆多项式，设设其中，是整数集合，是变量为x且系数取自的多项式环；是模m阶分圆多项式φm(x)＝xm/2+1生成的整系数多项式环；是模m阶分圆多项式和模q生成的多项式环；对于向量表示一种代数结构，称为模格；其中*是一种特殊乘法运算，具体运算如下：(2)随机选取随机选取u∈rq，取b＝2，定义矩阵其中，是一种代数结构，它包含的元素是向量，向量的维数是m，向量的每个分量取自多项式环rq；也是一种代数结构，它包含的元素是向量，向量的维数是(其中表示不超过logq的最大整数)，向量的每个分量取自多项式环rq；在中选取3+l个向量从多项式环中取出的多项式u；从中取出的向量d，它的每个分量是rq中的元素；gb＝[1|b|…|bm-1]是一个m维向量，分量依次为1，b，…，bm-1；表示行数为n，列数为主对角线上元素为gb的一个矩阵；在这里，我们设置b＝2。(3)h1：是通用单向哈希函数；ρs(x)＝exp(-π||x||2/s2)表示标准n维高斯分布，中心为0，方差为s；对于模格l，s＞0，模格上离散高斯分布表示为对于关于变量x的多项式环r，表示多项式的分布，其中系数向量(a0，a1，...，an-1)服从离散高斯分布dl，s抽样。表示m维向量，其每个分量服从分布{0，1}*表示任意长度的比特向量的集合；该通用单向哈希函数是将任意长度比特向量和一个中的向量杂凑，生成中一个向量，这个向量的每个分量服从离散高斯分布(4)h2：{0，1}*→{0，1}l是逐对独立哈希函数；其中，h2：{0，1}*→{0，1}l：一种哈希函数，输入任意长度比特向量，输出长度为l的比特向量；(5)h3：是通用单向哈希函数，具体构造如下：设设h3：1)计算这一步调用了调和机制。首先需要介绍调和机制：<·>2q，2是交错凑整函数，把上的元素作用到中的元素，具体操作是是模2凑整函数，如果x∈i0∪i1，则否则，令定义调和函数rec：为对于奇数q，定义随机化函数dbl：其中是随机向量，并且分别以1/2，1/4，1/4的概率取0，1，-1。是对于向量用随机化函数作用于它的每个分量，然后用模2凑整函数作用，得到的向量。2)计算这一步中，φ是系数嵌入，它将多项式环r中的元素映射为向量(a0，a1，...，an-1)。其实是将多项式的系数取出，按照顺序排成序列，作为一个系数向量。是对于向量用随机化函数作用于它的每个分量，然后用模2凑整函数作用，最后用系数嵌入，得到的向量，再和随机比特向量做水平方向连接，得到的新比特向量。3)不妨设b′∈{0，1}k′；随机取b0，bi，j←rrq，(i，j)∈[d]×[k′1/d]，计算哈希函数其中，其中是确定多项式时间算法，输入u∈rq，输出满足gbp＝u；这一步中，是同态计算函数，其实是一种迭代算法：当d＝1时，输出当d＝2，其中输入输出向量α，该向量满足所以，其中向量α，该向量满足依次类推，迭代计算这个同态计算函数。(7)变色龙哈希函数公布公钥保密私钥其中是格的陷门基；函数输入输出步骤解释：符号表示一个映射，其将多项式a(x)∈r映射成中的矩阵，第i行向量为是用映射作用于矩阵的每个表元，实质是把每个表元多项式a(x)∈r映射成中的矩阵，那么从整体上看，就是一个mn×mn阶矩阵。这一步中，先调用陷门基生成算法trapgen生成格的陷门基是变色龙哈希函数的公钥，这是向量和向量的水平方向连接。是变色龙哈希函数的私钥，具体是一个m×m阶矩阵，其中所有的表元取自多项式环rq。变色龙哈希函数输入计算因为是中的m维向量，h是离散高斯分布上抽样得到的m维向量，这里的计算是将两个m维向量对应的分量(每个分量都是多项式环rq中的一个多项式)相乘得到m个多项式环rq中的多项式，然后把这m个多项式环rq中的多项式相加，得到多项式环rq中的一个多项式，记作β。同理，因为是中的m维向量，s1是离散高斯分布上抽样得到的m维向量，这里的计算是将两个m维向量对应的分量相乘得到m个多项式环rq中的多项式，然后把这m个多项式环rq中的多项式相加，得到多项式环rq中的一个多项式，记作γ。最后计算β+γ。(7)高级对称加密算法aes算法∑＝(ek，dk)；这一步中，ek表示高级对称加密算法的加密部分，dk表示高级对称加密算法的解密部分。s2、密钥生成keygen(1n，pp)：输入安全参数n和系统生成的参数pp，输出签密方的公私钥、解签密方的公私钥。s3、签密signcrypt(msg∈{0，1}l，sks，pkr)：输入要签密的消息msg、签密方的私钥sks、解签密方的公钥pkr，输出签密密文。s4、解签密unsigncrypt(c，skr，pks)：输入密文、解签密方私钥skr、签密方的公钥pks，输出被签密的消息。2、如权利要求1所述的后量子安全的签密算法，其特征在于：所述步骤s2中，运行陷门生成算法trapgen生成签密方的公私钥对生成解签密方的公私钥对其中，是格的陷门基，是格的陷门基。3、如权利要求1所述的后量子安全的签密算法，其特征在于：所述步骤s3中包括如下步骤：a、计算这一步，哈希函数输入消息msg、解签密方的公钥输出服从离散高斯分布的向量h。b、随机选取τ←u({0，1}l)，计算调用算法利用计算出的陷门基tτ∈r2m；这一步，τ←u({0，1}l)表示从长度为l的比特向量集合{0，1}l上均匀抽样一个比特向量τ。τ[i]表示比特向量τ的第i个分量元素，表示第i个分量元素τ[i]和向量的每个分量相乘，得到的是中一个元素，表示将l个是中的元素相加，得到仍是中一个元素，再和发送方的公钥水平方向连接。得到中的一个元素。调用盆景树算法输入模格及其陷门基tτ∈r2m，生成模格的陷门基tτ∈r2m。c、随机抽样计算变色龙哈希函数值如下：这个变色龙哈希函数值用来定义um＝u+d·bin(cm)∈rq，其中利用陷门基tτ求解方程：的短向量解这一步实质是调用算法输出向量最后输出签名这一步，在离散高斯分布上抽样向量s1，是变色龙哈希函数的公钥，这是向量和向量的水平方向连接。是变色龙哈希函数的私钥，具体是一个m×m阶矩阵，其中所有的表元取自多项式环rq。变色龙哈希函数输入计算因为是中的m维向量，h是离散高斯分布上抽样得到的m维向量，这里的计算是将两个m维向量对应的分量(每个分量都是多项式环rq中的一个多项式)相乘得到m个多项式环rq中的多项式，然后把这m个多项式环rq中的多项式相加，得到多项式环rq中的一个多项式，记作β。同理，因为是中的m维向量，s1是离散高斯分布上抽样得到的m维向量，这里的计算是将两个m维向量对应的分量相乘得到m个多项式环rq中的多项式，然后把这m个多项式环rq中的多项式相加，得到多项式环rq中的一个多项式，记作γ。最后计算β+γ。bin(cm)是将多项式cm的每个系数用二进制展开，得到长度为的比特向量，因为d是中的向量，可以看成是维的向量，d·bin(cm)是将两个向量对应分量相乘，相乘的结果再相加，得到rq中一个向量。c、解析v为随机选取s2∈rrq，抽样随机取r2∈{0，1}l，设c0＝h3(r2,v1)依次计算w＝s2c0+e2∈rq，这一步，因为v是中的向量，表示在水平方向上将向量v分割成两个中的向量。c0＝h3(r2，v1)表示哈希函数h3作用于比特向量r2和向量v1，得到c0。w＝s2c0+e2表示将向量s2与向量c0相乘，相乘结果与噪声向量e2相加，得到rq中一个向量。表示随机化函数作用于向量w，得到向量表示交错凑整函数作用于向量得到信号向量c1。表示模2凑整函数作用于向量w，得到向量c2。(4)设计算这一步，c3＝h1(c1，v2)表示哈希函数h1作用于信号向量c1和向量v2，得到向量c3。表示将向量和向量c3在水平方向上连接组成向量e。(5)抽样计算这一步，表示从m维离散高斯分布上分别抽样向量e3，1和e3，2，并将它们水平方向放置，组成向量e3。c4＝s2e+e3：用向量s2分别乘以向量e的两个分量，得到的结果再和向量e3的分量对应相加，得到中一个新向量。(6)计算最后，输出密文c＝(τ，c0，c1，c3，c4，c5)。这一步，将h2(c2)作为aes加密算法的密钥，将消息msg、向量v2的系数嵌入得到的向量、向量s1系数嵌入得到的向量、比特向量r2水平方向连接构成的比特串作为aes算法的输入，aes算法输出比特串c5。将标签τ、向量c0、向量c1、向量c3、向量c4、向量c5组成签密密文。4、如权利要求1所述的后量子安全的签密算法，其特征在于：所述步骤s4包括如下步骤：(1)计算这一步，表示将向量和向量c3在水平方向上连接组成向量e。(7)抽样向量其中矩阵的每列向量服从分布这一步，在上的离散高斯分布上抽样向量(8)利用求出方程的短向量解这一步，是先计算c3和的乘积，再用c0减去c3和的乘积，得到一个差值，记作调用算法输入模格及其陷门基求解满足条件的解(9)计算这一步，是将两个噪声向量和的竖直放置，用向量c4乘以噪声向量得到向量w1。是用调和函数作用于向量w1和向量c1，恢复出(10)计算这一步，将作为aes解密算法的密钥，输入c5，将输出结果在水平方向上进行分割，得到(11)恢复解析验证下列条件：若c3≠h3(c1，v2(x))，则输出错误符号⊥，否则，继续；若c0≠h3(r2，v1(x))，则输出错误符号⊥，否则，继续；若则输出错误符号⊥。否则，继续；这一步，是将系数嵌入反作用于φ(v)得到对应的多项式是将分割成两部分v1和v2。(7)计算建立再验证下列两个条件是否成立：若都成立，则输出消息msg，否则，输出错误符号⊥。这一步，用哈希函数h1作用于解签密得到的信息msg和杂凑为上的一个向量h。因为是中的m维向量，h是离散高斯分布上抽样得到的m维向量，这里的计算是将两个m维向量对应的分量(每个分量都是多项式环rq中的一个多项式)相乘得到m个多项式环rq中的多项式，然后把这m个多项式环rq中的多项式相加，得到多项式环rq中的一个多项式，记作β。同理，因为是中的m维向量，s1是离散高斯分布上抽样得到的m维向量，这里的计算是将两个m维向量对应的分量相乘得到m个多项式环rq中的多项式，然后把这m个多项式环rq中的多项式相加，得到多项式环rq中的一个多项式，记作γ。最后计算β+γ。与现有技术相比，本发明具有的优点和积极效果是：本发明利用同态计算函数构造通用单向哈希函数，它的作用是将中的元素映射为rq中的向量，其本质上是采用划分(partitioning)技术；本发明在模格上构造变色龙哈希函数，它把中元素杂凑为rq中的向量，签密的cca2安全性依赖于变色龙哈希函数的碰撞稳固性、变色龙特性和一致性。一般来说，实现适应性安全有两种思路：第一，使用对偶加密系统。目前还没有基于模格上的对偶加密系统。即使构造出对偶加密系统，其计算效率也很低。第二，使用划分(partitioning)技术。本技术发明采用划分的技术。有两种方法可以将非适应性安全的签名转化为适应性安全的签名：第一，使用一次签名技术。但是，基于格密码的一次签名是在随机预言机模型下构造的。随机预言机模型存在安全隐患。第二，使用变色龙哈希函数。本发明采用构造变色龙哈希函数方法。此外，本发明引入封装的设计思想，结合划分技术、盆景树技术和调和技术实现cca2安全性，利用封闭猜测(confinedguessing)技术实现euf-acma安全性。在计算和效率两方面取得平衡。附图说明为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本发明的流程示意图；图2为公钥尺寸对比仿真示意图；图3为私钥尺寸对比仿真示意图；图4为密文开销对比仿真示意图。具体实施方式下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，所作的任何修改、等同替换、改进等，均应包含在本实用新型的保护范围之内。如图1，图1为发明的流程示意图；本发明的后量子安全的签密算法，包括以下步骤：s1、系统设置setup(1n)：设1n为安全参数，生成系统参数pp如下：(1)奇素数q满足q≡3mod8，m＝2k，κ≥2，φm(x)＝xm/2+1是m阶分圆多项式，设设(2)随机选取其中l＝o(n)，随机选取u，d∈rq；取b＝2，定义矩阵：(3)h1：是通用单向哈希函数；(4)h2：{0，1}*→{0，1}l是逐对独立哈希函数；(5)h3：是通用单向哈希函数，具体构造如下：设设1)计算2)计算不妨设b′∈{0，1}k′：随机取b0，bi，j←rrq，(i，j)∈[d]×[k′1/d]，计算哈希函数其中，其中是确定多项式时间算法，输入u∈rq，输出满足gbp＝u；(6)变色龙哈希函数公布公钥保密私钥其中是格的陷门基。函数输入输出(7)高级对称加密算法aes算法∑＝(ek，dk)s2、密钥生成keygen(1n，pp)；s3、签密signcrypt(msg∈{0，1}l，sks，pkr)；s4、解签密unsigncrypt(c，skr，pks)。所述步骤s2中，运行trapgen算法生成发送者的公私钥对生成接收者的公私钥对其中，是格的陷门基，是格的陷门基。所述步骤s3中包括如下步骤：a、计算b、随机选取τ←u({0，1}l)，计算调用算法利用计算出的陷门基tτ∈r2m；其中，是格的陷门基；c、随机抽样计算变色龙哈希函数值如下：这个变色龙哈希函数值用来定义um＝u+d·bin(cm)∈rq，其中利用陷门基tτ求解方程：的短向量解这一步实质是调用算法输出向量最后输出签名下面检验其三条性质：碰撞稳固性：假设存在碰撞则是的解，并且即可解。假设错误，故碰撞稳固。陷门碰撞：输入求解使得也就是求解短向量s1′满足方程存在概率多项式时间算法输出陷门基利用算法求解短向量一致性：因为可得的分布与r上均匀分布统计接近。另一方面，因为可得的分布与r上均匀分布统计接近。可得的输出分布与r上均匀分布统计接近。d、解析v为随机选取s2∈rrq，抽样随机取r2∈{0，1}l，设依次计算w＝s2c0+e2∈rq，(1)设计算(2)抽样计算(3)计算最后，输出密文c＝(τ，c0，c1，c3，c4，c5)。作为对上述技术方案的改进，所述步骤s4包括如下步骤：(1)计算(2)抽样向量其中矩阵的每列向量服从分布(1)利用求出方程的短向量解(2)计算(3)计算(4)恢复解析验证下列条件：若c3≠h3(c1，v2(x))，则输出错误符号⊥，否则，继续；若c0≠h3(r2，v1(x))，则输出错误符号⊥，否则，继续；若则输出错误符号⊥。否则，继续；(5)计算建立再验证下列两个条件是否成立：若都成立，则输出消息msg，否则，输出错误符号⊥。正确性分析当时，接收者能够以压倒性的概率正确解签密。证明观察发现经计算，得到不妨设为中选取的随机噪声，则有当即接收者能够以压倒性的概率正确解签密。性能分析下面从四个方面进行性能分析：公钥尺寸、私钥尺寸、密文开销、算法运行时间。设所有哈希函数的输出都是128比特。随机数长度是128比特。(1)计算开销用th表示哈希函数运行时间，td表示矩阵乘法时间，tp表示多项式乘法时间，tg表示高斯抽样时间。我们在64位windows10thinkpadx1笔记本和64位ubuntu14.4ltsthinkcenter台式机上使用c/c++pbc库实现了这些加密操作，见table1。table1.timeforcryptographyoperationcryptographyoperationtimeth0.3mstd0.27mstp0.44mstg0.52mstable2显示了当设置相同的参数n＝256，m＝512，q＝4093时，我们的签密算法与其它基于格密码的签密算法的运行时间对比。table2.comparisonofexecutiontimekeygensigncryptionunsigncryption[10]670ms2212ms2228ms[12]115343ms69369ms356515ms[13]533ms912ms988ms[20]808ms2153ms1570ms[21]624ms1842ms622ms[22]399ms757ms450ms[23]604ms677ms677msours266ms644ms716ms(2)通信开销在table3中，q表示模数，n表示格的维数。公钥尺寸是关于q和n的一个函数。在table4中，密文开销是关于q和n的一个函数。对table3和table4中q和n进行具体赋值：q＝277063，n＝540，可以计算出具体的公钥尺寸、私钥尺寸和密文开销。table3.comparisonofpk/sksizestable4.comparisonofciphertextoverheadciphertextoverhead[6]n+6nlog2q[8]n(6nlog2q+1)logq[10]n(3logq+2log2q+3)logq[12]2n(n+5)log2q[13]24nlog2q[20]n+(128+3n+6log(2nlogqlogn))nlogq[21]256+2n2(1+logq)logq[22]128+2n2+4n2log2q[23]796+36n2log3qours2n+n(1+3logq)logq为了更直观地看出效能，我们设置模数q＝277063，取不同的维数n。通过仿真，在图2、图3、图4中可以得到几个签密算法(ywl方案、ss方案、gm方案、lhy方案、zxx方案)的性能对比。图2中，横坐标表示格的维数，纵坐标表示公钥尺寸(单位是kb)。图3中，横坐标表示格的维数，纵坐标表示私钥尺寸(单位是kb)。图4中，横坐标表示格的维数，纵坐标表示密文开销(单位是kb)。从三个图中不难看出我们的签密算法公钥尺寸、私钥尺寸和密文开销低于现有的基于格密码构造的签密。本发明利用同态计算函数构造通用单向哈希函数，它的作用是将中的元素映射为rq中的向量。其本质上是采用划分(partitioning)技术；本发明在模格上构造变色龙哈希函数，它把中元素杂凑为rq中的向量，签密的cca2安全性依赖于变色龙哈希函数的碰撞稳固性、变色龙特性和一致性。一般来说，实现适应性安全有两种思路：第一，使用对偶加密系统。目前还没有基于模格上的对偶加密系统。即使构造出对偶加密系统，其计算效率也很低。第二，使用划分(partitioning)技术。本技术发明采用划分的技术。有两种方法可以将非适应性安全的签名转化为适应性安全的签名：第一，使用一次签名技术。但是，基于格密码的一次签名是在随机预言机模型下构造的。随机预言机模型存在安全隐患。第二，使用变色龙哈希函数。本发明采用构造变色龙哈希函数方法。此外，本发明引入封装的设计思想，结合划分技术、盆景树技术和调和技术实现cca2安全性，利用封闭猜测(confinedguessing)技术实现euf-acma安全性。在计算和效率两方面取得平衡。当前第1页12当前第1页12