RAKA：一种新的基于Ring-LWE的认证密钥协商协议

后量子时代,基于格理论的公钥密码被认为是最有前途的抵抗量子计算机攻击的公钥密码体制.然而,相对于格上公钥加密体制和数字签名方案的快速发展,基于格上困难问题的密钥协商协议成果却较少.因此,现阶段如何构建格上安全的密钥协商协议是密码学领域具有挑战性的问题之一.针对上述问题,基于环上带错误学习问题困难假设,采用调和技术构造了一种新的认证密钥协商协议RAKA(authenticated key agreement protocol based on reconciliation technique),该方案采用格上陷门函数技术提供了单向认证功能,并且在Ring-LWE假设下证明是安全的.与现有的基于LWE的密钥协商协议相比,该方案的共享会话密钥减小为2nlog q,效率更高;同时,由于该方案的安全性是基于格上困难问题,因此可以抵抗量子攻击.

一种用于小模数多项式乘法快速数论变换的扩域方法

在基于Ring-LWE体系的格密码算法中,快速数论变换是加速多项式环乘法的常见方法,但该方法对于系数域模数小于多项式长度的多项式环乘法不适用.本文通过对多项式系数域构造扩域,扩大系数域的阶数,使小模数的多项式环乘法也能够使用快速数论变换来加速.扩域上的有限域乘法会带来额外的计算开支,但快速NTT变换的使用可以带来指数级的加速效果,总体来说节省更多的计算复杂度.常见的快速数论变换使用与快速傅里叶变换相似的折半定理,进行基2的快速变换,而系数域构造扩域后由于其阶数无法满足基2变换的条件,本文通过将多项式长度进行质因子分解来推导复合基的快速数论变换,最终为小模数多项式环乘法提供可观的加速效果.

基于R-LWE的密文域多比特可逆信息隐藏算法

密文域可逆信息隐藏是一种以密文为载体进行信息嵌入与提取,同时能够对嵌入信息后的密文进行无失真解密并恢复出原始明文的信息隐藏技术,具有隐私保护与信息隐藏双重功能,在密文域数据处理与管理中具有较好的应用前景.因此,提出了一种基于R-LWE(ring-learning with errors)的密文域多比特可逆信息隐藏方案.首先使用R-LWE算法对载体明文进行快速高强度加密,然后通过对单位比特明文在密文空间映射区域的重量化以及对应密文的再编码,实现了在密文中嵌入多比特隐藏信息;嵌入信息时,根据加密过程中的数据分布特征来进行嵌入编码,保证了加解密与信息提取的鲁棒性;解密与提取信息时,先计算量化系数,而后采用不同的量化标准分别进行解密或信息提取,实现了解密与提取过程的可分离.分析方案的正确性时,首先推导方案出错的概率,说明了算法中引入的噪声的标准差对方案正确性的影响,然后结合理论分析与实验得出了保证方案正确性的噪声标准差的取值区间;通过推导嵌入后密文的分布函数,分析密文统计特征的变化,论证了密文中嵌入隐藏信息的不可感知性.实验结果表明:该文方案不仅能够实现嵌入后密文的无差错解密与秘密信息的可靠提取,并且单位比特明文在密文域能够负载多比特隐藏信息,密文嵌入率最高可达到0.2353bpb.

可分离的加密域十六进制可逆信息隐藏

针对当前可逆信息隐藏技术可分离性差、载体恢复失真较大的问题,提出了一种可分离的加密域可逆信息隐藏方案。在R-LWE公钥密码算法加密过程中,通过对加密域冗余区间的重量化与对密文数据的再编码,可在密文冗余中嵌入十六进制数构成的秘密信息。嵌入信息后,使用隐写密钥可以完整提取隐藏信息,使用解密密钥可以无差错恢复出加密前数据,提取过程与解密过程可分离。理论推导出了影响信息提取与直接解密正确性的相关参数,通过仿真实验得出了参数的可取值区间,实验结果表明本方案在实现加密域的可分离可逆信息隐藏的基础上充分保证了嵌入后的明文解密的可逆性,而且1比特明文在密文域最大可负载4比特秘密信息。

NTRU格上的属性加密方案

随着云计算的快速发展,基于属性的加密方案ABE应运而生,它是一种可以对加密数据实现细粒度访问控制的密码原语。特别地,密文策略的属性加密方案CP-ABE适用于公有云上数据的加密存储与细粒度共享。在一个CP-ABE方案中,数据拥有者可以在密文中嵌入不同的访问策略,从而决定拥有某些特定属性的用户具有该密文的解密权限。现有的基于密文属性的加密方案大多数是在经典格上设计的,并且它们的安全性是基于LWE问题设计的。结合线性秘密分享方案(LSSS),在NTRU格上构造了一个CP-ABE方案,并对该方案的正确性、安全性进行证明。众所周知,基于NTRU格的加密方案具有密钥短、速度快、操作简单和存储空间小等优点。相比经典的CP-ABE方案,文中的CP-ABE方案密钥尺寸和密文空间更小且加解密效率更高,同时,利用线性秘密共享矩阵作为访问矩阵,满足授权人细粒度委托控制的需求,且能够抵抗量子计算的攻击。安全分析表明,所提方案基于Ring-LWE假设,在随机谕示模型下是CPA安全的。

一种新型基于R-LWE的公钥密码体制

格公钥密码体制由其可抵抗量子攻击以及运算简单的优点,已成为密码学界的研究热点。本文基于格理论中的环上的错误学习问题,设计了一种公钥密码体制,给出了该公钥密码体制的具体参数选择,密钥生成和加解密方法。另外,还对该方案的安全性和效率进行分析,并将其与NTRU公钥密码体制进行了比较,指出了本方案的优势。

基于R-LWE密码体制的RFID认证协议研究

针对现有射频识别(RFID)系统不能抵抗量子攻击、安全效率低、隐私泄露等问题,提出一种基于R-LWE密码体制的RFID相互认证协议。该协议能够抵抗量子攻击,并且密钥短、加解密速度快、存储空间小。通过使用基于R-LWE的密码体制对标签的ID进行加密处理,在标签中直接保存密文信息,并加入随机数,可以保证加密信息的新鲜性和不确定性。与标签认证协议相结合,不仅解决了假冒攻击、重放攻击、拒绝服务攻击等安全问题,而且实现了标签、阅读器、后端数据库之间的相互认证。与其他协议相比,该协议不仅安全性和计算效率高,而且适合用于资源受限的低成本标签。通过GNY逻辑对协议进行形式化证明,表明了该协议的可行性。

基于理想格的高效密文策略属性基加密方案

已有的基于格的密文策略属性基(CP-ABE)方案只能通过矩阵运算方法进行加解密,加解密效率不高,而效率较高的基于理想格的密钥策略属性基(KP-ABE)方案又存在对各类实际应用场景适应性较差的问题。为解决上述问题,该文利用理想格上的算法生成主密钥和密钥,同时在多项式环上进行运算,极大地提高了加解密效率;通过在原属性集合中添加虚拟属性,方案成功结合访问结构生成密文,同时授权用户可以构建出满足解密条件的子集,从而实现方案的正确解密;还利用单个陷门矩阵生成密钥,有效降低了公共参数和主密钥的数量。最终该文构建了一个基于理想格的支持门限访问结构的高效CP-ABE方案,并证明方案在环上容错学习(R-LWE)假设下是选择性安全的。与现有支持门限访问结构的方案的对比分析表明,该文方案公共参数数量更少、效率更高,且对实际应用场景有更好的适应性。

基于环上容错学习和GSW的层次型全同态加密方案

针对目前全同态加密方案效率不高的问题,对GSW同态加密方案进行改进,提出基于环上容错学习和GSW的层次型全同态加密方案。首先,构造基于环上容错学习困难问题的基本公钥加密方案,利用近似特征向量方法使其具有加法、乘法同态性,进一步为简化噪声增长过程的分析而引入随机化函数技术;其次,证明了基本加密方案的正确性、安全性,并详细分析了同态加法、同态乘法和同态与非门操作的正确性;最后,根据密文对应噪声项的增长情况及困难问题的安全性设置方案安全参数,并利用快速傅里叶变换降低多项式乘法运算的计算复杂度,构造出层次型(Leveled)全同态加密方案。与GSW方案相比,新方案具有更小的公钥尺寸,且同态计算每个与非门的复杂度从O((nL)^(2.37))降低到O(nL^2)。

基于格的后量子密钥交换研究

理论上量子算法可高效破解基于整数分解类和离散对数类等经典数论假设的密码体制;近年来量子计算机的研制进展迅速,使经典公钥密码面临现实威胁.因此,设计后量子密码系统是当前密码学研究以及标准制定中的重要课题.其中以后量子密钥交换协议的需求最为迫切,因此成为近年来的热点研究方向.本文主要关注基于格上的计算困难问题,LWE,环LWE和模LWE设计的后量子密钥交换协议,尤其是最基础的无认证密钥交换协议,包括BCNS15,NewHope/NewHope-Simple,Prodo,Kyber.KE等.本文将介绍这些协议中的关键技术,参数选取,以及通信量,计算效率和安全性等指标.

基于NTRU格的云数据可撤销属性基加密方案

针对现有基于离散对数求解难题的云数据加密方案无法抵御量子计算攻击并同时实现安全有效的属性撤销问题,提出一种基于NTRU格的云数据可撤销密文策略属性基加密方案RNL-ABE.首先将基于NTRU格的加密算法与属性基加密结合以抵御量子计算攻击,实现细粒度访问控制和安全属性撤销,避免重新进行密钥分发;改进密钥结构,防止系统中的合法用户、撤销用户、外部攻击者之间实施共谋攻击.最后基于环上误差学习难题(R-LWE),对RNL-ABE方案进行了形式化证明,并与同类型方案进行了仿真性能比较.结果表明:RNL-ABE方案在选择属性集模型下能够抵御量子计算攻击并实现安全的属性撤销;相比其他同类型方案,所提出方案在效率上更具有优势,计算和通信开销均减少50%以上.

一种高性能R-LWE格加密算法的电路结构及其FPGA实现

随着量子计算机的发展,传统的公钥加密方案,如RSA加密和椭圆曲线加密算法(Ellipticcurve cryptography,ECC)受到了严重威胁。为了对抗量子攻击,基于格的密码学引起了关注,其中环错误学习(Ring-learning with error,R-LWE)格加密算法具有电路实现简单、抗量子攻击等优点,在硬件加密领域具有极大的应用潜力。本文从硬件应用的角度,提出并实现了一种R-LWE加密方案中多项式乘法的并行电路结构,采用了数论转换(Number theoretic transforms,NTT)方法,并使用了两个并行的蝶形运算单元。结果表明在增加较少硬件资源的情况下,本文设计的算法提升了42%的运算速度。

基于格的较小密文身份加密方案

现有的基于格的IBE加密方案的密文较大,在一个密文中只能加密较少的明文信息。为此,提出了一种基于带错误学习问题(LWE)及其环版本的新的基于格的IBE加密方案。当方案的加密参数设置为l=n时,相比于其他基于格的IBE加密方案,在相同的密文大小下,该方案可以加密两倍长度的明文。在随机预言机模型下,证明了该方案能够在自适应选择身份攻击和选择明文攻击下实现密文不可区分性(IND-ID-CPA)。

基于格上密文策略属性基加密的联盟链数据共享方案

数据共享过程中存在数据泄漏、信任危机等问题,且量子计算机的出现对传统加密算法带来了较大威胁。为此,提出一种基于格上密文策略属性基加密(CP-ABE)的联盟链数据共享方案。利用联盟链的准入机制以及允许存在可信第三方的特性解决在分布式网络中数据共享双方相互不信任的问题。引入基于环上容错学习的CP-ABE技术来抵御量子攻击,同时改进访问树的生成方式,将属性分为高敏感、低敏感两类,实现对数据的分级加密以保证数据的安全性。基于演化博弈论构建数据共享模型,对共享双方在联盟链数据共享体系中的选择策略进行求解和分析,并探究不同参数对演化结果的影响。实验结果表明,当属性数量呈指数级增长时,该方案的启动算法、加密算法以及解密算法的效率比基于合数阶双线群的CP-ABE方案分别提高81.6%、43.8%和56.0%,每增加一个背书节点能够使系统在执行增加用户与查询用户函数时效率分别提高36.8%与6.4%。此外,对演化模型进行模拟,结果表明,当数据固有收益、损失概率与损失收益的乘积都提高时,参与联盟链带来的收益提高,用户更倾向于参与联盟链。

基于BLISS签名的不经意电子信封

目前已有的基于签名的不经意电子信封(oblivious signature-based envelope,OSBE)使用的是Schnorr或RSA等传统数字签名,其安全性来源于离散对数或大整数分解等经典数论困难问题,无法抵御量子计算机的攻击.本文提出一种基于BLISS数字签名的不经意电子信封(BLISS-OSBE),可以在量子计算机攻击的环境下保证OSBE的安全特性.消息发送者使用对称密码加密消息,然后与消息接收者交互,产生用于加密对称密钥的公钥,使用基于环上的LWE问题的公钥加密方案加密对称密钥,拥有有效BLISS签名的接收者可以解密LWE密文得到对称密钥,从而解密消息,并且不泄露自己的身份.方案可以抵御量子计算机的攻击,不涉及大整数、模指数或椭圆曲线点加倍点运算,具有良好的实现性能.

An efficient full dynamic group signature scheme over ring

The group signature scheme is an important primitive in cryptography,it allows members in a group to generate signatures anonymously on behalf of the whole group.In view of the practical application of such schemes,it is necessary to allow users’registration and revocation when necessary,which makes the construction of dynamic group signature schemes become a significant direction.On the basis of(Ling et al.,Lattice-based group signatures:achieving full dynamicity with ease,2017),we present the first full dynamic group signature scheme over ring,and under the premise of ensuring security,the efficiency of the scheme is improved mainly from the following three aspects:the size of keys,the dynamic construction of a Merkle hash tree that used to record the information of registered users,and the reuse of the leaves in this tree.In addition,the public and secret keys of both group manager and trace manager are generated by a trusted third party,which prevents the situation that the two managers generate their respective public key and secret key maliciously.Compared with the counterpart of the scheme in(Ling et al.,Lattice-based group signatures:achieving full dynamicity with ease,2017)over ring,the expected space complexity of the Merkle tree used in our work down almost by half,and the computational complexity of its update has been reduced by a notch because of the dynamic construction of the hash tree.

On the hardness of NTRU problems

The hardness of NTRU problem affects heavily on the securities of the cryptosystems based on it.However,we could only estimate the hardness of the specific parameterized NTRU problems from the perspective of actual attacks,and whether there are worst-case to average-case reductions for NTRU problems like other lattice-based problems(e.g.,the Ring-LWE problem)is still an open problem.In this paper,we show that for any algebraic number field K,the NTRU problem with suitable parameters defined over the ring of integers R is at least as hard as the corresponding Ring-LWE problem.Hence,combining known reductions of the Ring-LWE problem,we could reduce worst-case basic ideal lattice problems,e.g.,SIVPγproblem,to average-case NTRU problems.Our results also mean that solving a kind of average-case SVPγproblem over highly structured NTRU lattice is at least as hard as worst-case basic ideal lattice problems in K.As an important corollary,we could prove that for modulus q=Õ(n^(5.5)),average-case NTRU problem over arbitrary cyclotomic field K with[K:Q]=n is at least as hard as worst-case SIVP_(γ)problems over K with γ=Õ(n^(6)).

An efficient full dynamic group signature scheme over ring

The group signature scheme is an important primitive in cryptography,it allows members in a group to generate signatures anonymously on behalf of the whole group.In view of the practical application of such schemes,it is necessary to allow users’registration and revocation when necessary,which makes the construction of dynamic group signature schemes become a significant direction.On the basis of(Ling et al.,Lattice-based group signatures:achieving full dynamicity with ease,2017),we present the first full dynamic group signature scheme over ring,and under the premise of ensuring security,the efficiency of the scheme is improved mainly from the following three aspects:the size of keys,the dynamic construction of a Merkle hash tree that used to record the information of registered users,and the reuse of the leaves in this tree.In addition,the public and secret keys of both group manager and trace manager are generated by a trusted third party,which prevents the situation that the two managers generate their respective public key and secret key maliciously.Compared with the counterpart of the scheme in(Ling et al.,Lattice-based group signatures:achieving full dynamicity with ease,2017)over ring,the expected space complexity of the Merkle tree used in our work down almost by half,and the computational complexity of its update has been reduced by a notch because of the dynamic construction of the hash tree.