利用环上容错学习问题构造可链接环签名方案

针对格上可链接环签名方案中存在密钥较大、效率较低的问题,基于环上容错学习(RLWE)难题,依据"同态承诺→∑-协议→Fiat-Shamir转化"的技术路线,重新构造一个格上可链接环签名方案。首先构造一个基于RLWE难题的多项式环上的同态承诺方案,然后基于承诺方案设计一个∑-协议,并利用Fiat-Shamir转化方法将该∑-协议转化为可链接环签名方案,最后基于该可链接环签名方案提出一个简易的数字货币模型。安全分析表明,由于所提方案基于RLWE困难问题构建,方案的安全性可规约至格上困难问题,抵抗量子计算机攻击。效率分析表明,与以往格上可链接环签名方案相比,由于方案中环元素取自小多项式,所提方案具有更短的密钥尺寸和更高的计算效率,且方案描述更简单。

一种基于LWE问题的无证书全同态加密体制

全同态加密在云计算等领域具有重要的应用价值,然而,现有全同态加密体制普遍存在公钥尺寸较大的缺陷,严重影响密钥管理与身份认证的效率。为解决这一问题,该文将无证书公钥加密的思想与全同态加密体制相结合,提出一种基于容错学习(LWE)问题的无证书全同态加密体制,利用前像可采样陷门单向函数建立用户身份信息与公钥之间的联系,无须使用公钥证书进行身份认证;用户私钥由用户自行选定,不存在密钥托管问题。体制的安全性在随机喻示模型下归约到判定性LWE问题难解性,并包含严格的可证安全证明。

多属性环境下基于容错学习的全同态加密方案

针对Gentry、Sahai和Waters提出的基于容错学习(LWE)问题全同态加密方案(GENTRY C,SALAHAI A,WATERS B.Homomorphic encryption from learning with errors:conceptually-simpler,asymptotically-faster,attributebased[C]//Proceedings of the 33rd Annual Cryptology Conference.Berlin:Springer,2013:75-92)中只能在单个属性环境下工作的问题,通过借鉴"模糊系统"技术,构造了多属性环境下基于LWE的全同态加密方案。首先根据条件等式判断是否为合法用户,然后利用密文扩展算法构造新的密文矩阵,最后采用"模糊系统"技术进行方案构造。在标准的基于X不可区分的选择明文攻击(IND-X-CPA)安全游戏中证明了安全性。所提方案优点是可以将满足一定属性的基于属性加密(ABE)方案转换成多属性环境下的全同态加密方案,缺陷是运算复杂度有所增加。

基于容错学习的GSW-型全同态层次型IBE方案

针对传统的基于身份的加密(IBE)方案不能够对密文直接进行计算这一功能上的缺陷,提出了一个新的IBE方案。该方案利用Gentry等提出的同态转化机制,结合Agrawal等构造的层次型IBE方案,构造了一个具有全同态性质的层次型IBE方案。与Gentry等提出的全同态加密(GSW)方案(GENTRY C,SAHAI A,WATERS B.Homomorphic encryption from learning with errors:conceptually-simpler,asymptotically-faster,attribute-based.CRYPTO2013:Proceedings of the 33rd Annual Cryptology Conference on Advances in Cryptology.Berlin:Springer,2013:75-92)和Clear等提出的全同态IBE(CM)方案(CLEAR M,MCGOLDRICK C.Bootstrappable identity-based fully homomorphic encryption.CANS 2014:Proceedings of 13th International Conference on Cryptology and Network Security.Berlin:Springer,2014:1-19)相比,该方案构造方法更加自然,空间复杂度由立方级降低到平方级,效率更高。在当前云计算背景下,有助于基于容错学习(LWE)的全同态加密方案从理论向实践转化。通过性能分析并在随机预言机模型下验证了所提方案具有完全安全下的选择明文攻击(IND-ID-CPA)安全性。

利用RLWE构造基于身份的全同态加密体制

全同态加密为云计算中数据全生命周期隐私保护等难题的解决都提供了新的思路.公钥尺寸较大是现有全同态加密体制普遍存在的问题.本文将基于身份加密的思想和全同态加密体制相结合,利用环上容错学习问题(Ring Learning With Errors,RLWE),其中将环的参数m扩展到任意正整数,提出了一种基于身份的全同态加密体制.体制以用户身份标识作为公钥,在计算效率和密钥管理方面都具有优势,安全性在随机喻示模型下可规约为判定性RLWE问题难解性假设.

基于MLWE的低膨胀率加密算法

基于模容错学习问题(MLWE)的格密码算法Kyber具有抗量子攻击、加密效率高的优势,但密文膨胀率较大约为1∶25,仅适用于密钥封装等少数场景。为了构建一种能够应用于一般的公钥加密场景的加密算法,提出了一种改进的基于MLWE的低膨胀率公钥加密算法。文中在Kyber加密算法中引入新的加密参数dp,扩大了明文空间,通过严格的理论推导与实验分析了dp对加密算法正确性的影响,并优化了加密参数,降低了密文膨胀率。改进后的算法会扩大有限域(即计算空间),导致直接使用原算法中的有限域上的多项式乘法运算,需调用额外的大整数计算库,从而降低了加密效率。通过使用基于浮点运算的复数域上的快速傅里叶变换进行多项式乘法,避免了在增大后的有限域上进行大整数多项式乘法。最后,对浮点运算产生的误差进行了分析,同时使用C++实现了改进算法,并将其与Kyber的实验数据进行对比。实验表明,所提算法在保证了计算效率的同时使密文膨胀率由1∶25左右降低到了1∶4.25左右。

基于LWE的抗量子认证密钥交换协议

目前格上的密钥交换协议大都基于环上容错学习问题,需要充分利用环结构的效率和存储优势,但在实际应用中其安全性有待进一步研究,且实现认证需要额外的签名等复杂结构。文章基于LWE问题构造一种抗量子认证密钥交换协议,采用预计算提高协议的线上效率,验证协议双方均可正确计算得到一致会话密钥,设计系列安全性游戏并对协议的安全性加以证明。在两轮消息的交互中引入长期公私钥,在会话密钥计算中引入Hash函数实现协议的认证,在不使用额外的签名操作情况下可抵抗中间人攻击。由于目前没有可区分LWE分布和均匀随机分布的量子算法,文章所提出的协议可抵抗量子计算攻击。

基于R-SIS和R-LWE构建的IBE加密方案

格上基于身份的加密机制(Identity-Based Encryption, IBE)能够有效抵抗量子攻击,并且该机制将每个人的身份信息作为公钥,能够简化公钥基础设施(Public Key Infrastructure, PKI)对海量用户的公钥管理,这种加密机制是对传统PKI的改进,能够解决PKI在物联网环境下暴露的众多问题。然而,目前国内外学者提出的基于格的IBE方案大多比较笨重,并且实现的方案很少。针对上述问题,提出了一种基于R-SIS以及R-LWE困难问题的IND-sID-CPA安全的IBE低膨胀率方案。首先,提出了分块复用技术,通过重用占存储空间较大的辅助解密密文块,极大地降低了密文膨胀率并提高了加密效率。然后,利用了Kyber提出的压缩算法并引入明文扩张参数,对以上两个参数指标进行进一步优化。通过严格的理论推导分析了所提方案的安全性、正确性和计算复杂度,利用数值实验给出了该方案在3种场景下的较优参数取值。最后,通过C++程序实现新方案,对比了所提方案与BFRS18方案在3种场景下的性能。实验结果表明,该方案在保证正确性和安全性的同时,有效提高了原方案的加解密效率,降低了密文膨胀率。

基于BRLWE的物联网后量子加密技术研究

随着量子计算机的发展,现有的公钥加密体系无法保障物联网通信的安全性。后量子加密算法所基于的数学难题目前还不能被量子计算机攻破,因此具备良好的抗量子安全性,尤其是基于格的公钥密码体制,有望成为下一代公钥加密体系的主流。然而,后量子加密算法存在计算量大、存储空间大等问题,如果将其直接应用于物联网终端的轻量级设备中,会降低物联网环境的通信效率。为了更好地保护物联网通信安全,保障物联网通信效率,提出了Sym-BRLWE(symmetrical binary RLWE)后量子加密算法。该算法在基于二进制环上容错学习(BRLWE,binary ring-learning with errors)问题的加密算法的基础上,改进了离散均匀分布上的随机数选取方式和多项式乘法的计算方式,从而满足物联网通信的效率要求,增加了加密安全性防护性措施以保证算法在取得高效率的同时具有高安全性,更加适应于物联网轻量设备。安全性分析表明,Sym-BRLWE加密算法具有高安全性,从理论上能够抵抗格攻击、时序攻击、简单能量分析和差分能量分析;仿真实验结果表明,Sym-BRLWE加密算法具有通信效率高的优势,加密解密效率高且密钥尺寸小,在模拟8 bit微型设备的二进制运算环境下,选择140 bit的抗量子安全级别参数时,相较于其他已有的基于BRLWE的加密算法,同等加密条件下Sym-BRLWE加密算法能够在加密总时间上减少30%~40%。

基于LWE的Leveled KP-ABFHE方案

基于Gorbunov等人的电路结构下的基于属性的加密(ABE)方案,提出"反复重编码技术"。结合该方案与技术,利用Gentry等提出的同态转化机制,设计了一个基于LWE的密钥策略全同态ABE(KP-ABFHE)方案。该方案解决了传统的ABE方案不能够对密文直接进行计算这一功能上的缺陷,在访问结构对应的布尔电路上应用"反复重编码技术",使得电路层结构更清晰。探索了该方案在云存储领域的应用。

基于格的细粒度访问控制内积函数加密方案

函数加密作为一种多功能的新型公钥加密原语,因其能实现细粒度的密文计算,在云存储中有着广阔的应用前景,受到研究者们的广泛研究.因此,将数据的访问权限控制有机地融合到加解密算法中,实现“部分加解密可控、按需安全计算”是一个非常有意义的探索方向.但现有函数加密方案无法精细控制发送者权限且使用了较复杂的理论工具(如不可区分性混淆、多线性映射等),难以满足一些特定应用场合需求.面对量子攻击挑战,如何设计抗量子攻击的特殊、高效的函数加密方案成为一个研究热点.内积函数加密是函数加密的特殊形式,不仅能够实现更复杂的访问控制策略和策略隐藏,而且可以有效地控制数据的“部分访问”,提供更细粒度的查询,在满足数据机密性的同时提高隐私保护.针对更加灵活可控按需安全计算的难点,该文基于格上Learning with errors困难问题提出一种基于身份的细粒度访问控制内积函数加密方案.该方案首先将内积函数与通过原像抽样算法产生的向量相关联,生成函数私钥以此控制接收方的计算能力.其次,引入一个第三方(访问控制中心)充当访问控制功能实施者,通过剩余哈希引理及矩阵的秩检验密文的随机性,完成对密文的重随机化以实现控制发送者权限的目的.最后,接收者将转换后的密文通过内积函数私钥解密,仅计算得到关于原始消息的内积值.理论分析与实验评估表明,所提方案在性能上有明显优势,不仅可以抵御量子攻击,而且能够控制接收者的计算权限与发送者的发送权限,在保护用户数据机密性的同时,有效实现开放环境下数据可用不可见、数据可算不可识的细粒度权限可控密文计算的目标.

基于理想格的公钥加密方案快速实现技术研究

在基于理想格和模格的公钥加密方案中,多项式环上的乘法运算是影响方案实现效率的重要模块,而该模块通常可通过数论变换(number theoretic transform,NTT)来快速实现.本文采用结合Karatsuba算法的带预处理的NTT(preprocess-then-NTT with Karatsuba,KNTT),提升格公钥加密方案的实现效率.在使用KNTT前,通过改进采样和密文打(解)包结果的存储方式来调整多项式环元素的数据结构,使之直接适用KNTT,从而省去KNTT算法中的预处理和组合环节.改进了KNTT中的NTT变换的实现方式,进一步提高格公钥加密方案的实现效率.KYBER是NIST在第三轮评选中决定标准化的格公钥密码算法,本文将上述改进技术应用于KYBER类加密方案,得到了KNTT-based KYBER算法,与KYBER.CPAPKE相比,密钥生成实现效率提高了5%–8%,加密实现效率提高了7%–10%,解密实现效率提高了9%–10%.

多密钥全同态加密的研究现状与发展趋势

全同态加密是隐私保护的一种技术,可以使数据在密文状态下进行运算且运算结果解密之后与在明文状态下的运算结果一致。多密钥全同态加密允许在不同密钥下加密的密文之间进行同态操作。加密方案中存在密钥交换、密文扩展等影响运算效率的多项式函数,而且投入实际应用的方案需具备良好的计算效率。以同态加密的3个发展阶段为分水岭,分别梳理每一阶段的多密钥全同态加密的基本构造流程并分析学者们对其进行的核心优化方法。最后简要讨论多密钥全同态加密方案面临的问题并展望未来可能的优化方向。

一种针对全同态加密体制的密钥恢复攻击

全同态加密能够实现密文域上的各种运算,在云计算环境下具有重要的应用价值。然而,现有全同态加密体制在非适应性选择密文攻击下的安全性仍然是一个有待研究的问题。该文通过对基于容错学习(LWE)问题构造的全同态加密体制结构进行分析,指出其中存在的一个安全隐患,使其在遭受此类攻击时存在私钥泄露的风险。据此提出一种密钥恢复攻击方法,能够在拥有解密喻示的条件下,利用密文域二分逼近和求解线性同余方程组相结合的手段,对此类密码体制的私钥实施有效还原。

基于格的两方口令认证密钥交换协议

口令认证密钥交换协议能使共享低熵的通信方在开放的网络中建立安全的会话密钥,基于Gorce-Katz框架提出了基于格的两方口令认证密钥交换(password-based authenticated key exchange,2PAKE)协议,协议采用具有近似平滑投射哈希函数(approximate smooth projective Hash,ASPH)性质的选择明文攻击(chosen plaintext attack,CPA)安全的和带有标签的选择密文攻击(chosen ciphertext attack,CCA)安全的密码体制,利用平滑投射函数的纠错性生成随机参数,通过伪随机函数计算会话密钥;与同类协议相比,该方案降低客户端密钥长度,减少服务器端投射密钥的生成次数,具有较高的效率以及完美前向安全性,在抵抗量子攻击的同时可实现显式双向认证.

新的NTRU格上抗量子攻击的群签名方案

分析以往基于格的群签名方案,虽能有效抵抗量子攻击,但都存在计算复杂度高、通信代价大和系统公钥尺寸过大的弱点,而NRTU格是一类基于多项式环的特殊格,因只涉及多项式环上的乘法和小整数求模运算,与一般格相比,NTRU格密码体制所需公私钥长度更短,运算速度更快。方案中使用NTRU格上高效的参数生成算法,构建了一个新的基于NTRU格的群签名方案,缩短了系统公钥长度,且系统公钥、追踪密钥和签名密钥之间可并行计算,使得计算效率更高,降低了通信代价。方案安全性归约至判定性LWE问题和近似CVP问题的难解性,并给出方案详细的效率分析。

支持多比特加密的全同态加密体制设计

现有全同态加密体制普遍存在密文尺寸较大和采用单比特加密所导致的效率较低问题。在Gentry等人提出的全同态加密体制(简称GSW13体制)的基础上,通过修改其展开方式,利用近似特征向量技术,提出了一种新的全同态加密体制。在随机喻示模型下,将新体制的安全性归约到判定性容错学习问题(decisional learning with errors,DLWE)的难解性,给出了其正确性和安全性的证明。又在不改变系统参数的条件下,采用多比特加密,对新体制进行优化。与GSW13体制相比,新体制的密文尺寸减小61.47%,加密运算量减少68.97%。新体制不仅减小密文扩张,而且减少同态运算计算次数,从而提高了体制效率。

一种基于身份的全同态加密体制

全同态加密在云计算安全领域具有重要应用价值。公钥尺寸较大是现有全同态加密体制普遍存在的缺点。为解决这一问题,文章将基于身份加密的思想和全同态加密体制相结合,利用近似特征向量方法,无需生成运算密钥,构造了一种真正意义上基于身份的全同态加密体制。采用更有效的陷门生成算法,将文献[13]中基于身份的全同态加密的体制参数由m≥5nlogq减小至m≈2nlogq。本体制的安全性在随机喻示模型下归约到容错学习问题难解性。

Agr17函数加密(FE)方案的P/poly无效性

函数加密(functional encryption,FE)是密码研究领域的前沿课题,而Agr17函数加密(FE)方案是主流FE方案之一.该方案以BGG+14属性加密(ABE)为一个底层结构,并将其改造为一个“部分隐藏属性的谓词加密”(PHPE),再与一个全同态加密(FHE)组合而成.然而Agr17函数加密(FE)方案留下了一个问题,即方案中的换模运算如何实现.本文论述Agr17函数加密(FE)方案的P/poly无效性,Agr17函数加密(FE)方案在解密阶段的换模之后无法继续运行.指出Agr17函数加密(FE)方案的换模运算必须是双重换模,即对全同态密文的换模和对全同态密文所寄生的属性密文的换模.指出对全同态密文所寄生的属性密文的换模破坏了属性密文的结构,使得其后的属性解密无法运行.因为属性解密运算并不是普通的LWE解密,而是附带条件的LWE解密,换模则破坏了解密条件.给出了一种“自然的”修改方案,将小模内积换为算术内积,由属性密文的模内积来实现算术内积.修改方案可以正确解密,但并不安全,说明这种无效性并不容易通过修改方案而消失.

GVW15谓词加密(PE)方案的P/poly有效性的一个注解

谓词加密(PE)是密码研究领域的前沿课题之一,也是身份基加密(IBE)→属性基加密(ABE)→谓词加密(PE)→函数加密(FE)进阶过程的重要一环.GVW15谓词加密(PE)方案是一个主流的谓词加密(PE)方案,以BGG+14属性加密(ABE)为底层结构,再与全同态加密(FHE)组合而成.该方案的一个重要运算是换模,将全同态密文的模Q降为属性密文的模q,因此全同态密文中的噪声尺寸降为多项式大,从而为后续的穷举噪声尺寸提供了可行性,并进而正确解密.本文指出,没有证据表明GVW15谓词加密(PE)方案是P/poly有效的,即在面对P/poly函数时,没有证据表明GVW15谓词加密(PE)方案的换模运算能够将全同态密文中的噪声(内噪声)尺寸降为多项式大.由于GVW15对“换模”这个关键操作没有给出详细论述,本文只能去猜测所有可能的换模路径,并按照最似然的理解,指出每个可能的换模路径都面对特殊的、看来似乎很困难的可行性证明.