[发明专利]一种基于格的密钥封装方法

说明书

本发明公开了一种基于格的密钥封装方法。本方法首先选取特殊的b＝α，然后计算相应的a，对经典LWE加密体制做更进一步的压缩，提供一种快速、高效的基于格的密钥封装方法。其中涉及的剩余类环Z_j,当j为偶数时，选取作为环Z_j的代表元。当j为奇数时，选取作为环Z_j的代表元；选取的公开参数N,q,α及小系数多项式f,g,e的选取方式，应保证以很大概率成立，其中||gr+ef||_∞表示多项式gr+ef所有系数的绝对值中最大的那个。

技术领域

本发明属于信息安全技术领域，具体涉及一种基于格的密钥封装方法。

背景技术

目前使用的公钥加密算法，密钥封装体制的构造主要是基于经典的数学问题，例如目前广泛使用的RSA公钥密码体制或椭圆曲线公钥密码体制，其依赖的困难数学问题——大整数分解或椭圆曲线群上的离散对数问题。

理论上量子算法可以有效求解整数分解和离散对数等经典问题，使得现有公钥密码体制的安全性面临极大的威胁，因此能够抵抗量子计算机攻击的密码(后量子密码)受到了广泛的关注。根据底层困难数学问题的不同，后量子公钥密码主要可以分为：基于格的密码、基于编码的密码、基于哈希的密码以及基于多变量的密码。

对于基于格的公钥密码体制来说，2005年Regev提出基于LWE问题的公钥加密体制后，越来越多的密码学家对其进行了深入的研究。具体来说，基于LWE的公钥加密体制一般具有如下结构，发送方利用接收方的公钥(a,b＝as+e₁)对消息m进行加密得到密文(c₁，c₂)，其中c₁＝ar+e_a,c₂＝br+e_b+Encode(m)，Encode(m)是对消息m的编码，最常见的是最后接收方利用自己的私钥s来对密文解密恢复消息。为了减少密文规模，通常会对密文c₂进行压缩。最常见的方法是将c₂的每个系数的低位比特舍弃，仅保留2到3个高位比特，这就需要我们选择足够大的q来兼容这种压缩，从而保证解密正确率。

除了基于格的公钥加密体制，基于格的密钥封装机制，也是格密码研究的重要内容。在密钥封装机制中，发送方运行一个封装算法产生一个会话密钥以及与之对应的密文，该密文也被称为会话密钥封装。随后发送方将会话密钥封装发送给接收方。接收方运行解封装算法得到与发送方相同的会话密钥。通过经典的Fujisaki-Okamoto(FO)变换，可以将具有IND-CPA安全的密钥封装机制转换为具有IND-CCA2安全的密钥封装机制。

发明内容

本发明的目的在于提供一种基于格的密钥封装方法。与经典LWE加密体制首先随机选取a，然后计算相应的b不同，本发明通过首先选取特殊的b＝α，然后计算相应的a，对经典LWE加密体制做更进一步的压缩，提供一种快速、高效的基于格的密钥封装方法。

本发明涉及的剩余类环Z_j,当j为偶数时，我们选取作为环Z_j的代表元。当j为奇数时，我们选取作为环Z_j的代表元。

一种基于格的密钥封装方法，其步骤包括：

步骤1.1:密钥生成方法：接收方首先选取正整数N，大于1的整数q，正整数α使得选取N次整系数多项式F(x)，令环R_q＝Z_q[x]/F(x)，其中Z_q[x]是剩余类环Z_q上的多项式环，并将(N,q,α)及环R_q做为公共参数公开。接收方选择环R_q中的小系数多项式f，g，多项式f作为私钥要在环R_q中可逆，其逆表示为f^-1。最后计算公钥h＝f^-1(g+α)mod q。