一种格上SVP问题求解的快速分块筛法

针对现有筛法在通过向量约减构造短向量列表过程中消耗大量时间的问题,基于降维思想,提出一种新型的分块筛法。通过对原始格基分块对应生成多个低维子格,分别在子格上做筛法,获得子格短向量列表;将在子格中得到的短向量列表作为原始格上筛法的初始向量列表,能够较好地提高约化效率,从而更快找到原始格上的最短向量。分块筛技术在对新向量的约减速度与效果上优势更明显,实验数据表明分块筛在运行时间上可以达到平均7.1%的提高。

子格筛法的两种优化方法

子格筛法是求解格上最短向量问题(shortest vector problem,SVP)的一个高效算法,通过在(n-d)维投影子格上调用高斯筛法以求解n维格上的SVP问题,其中d是自由维数.子格筛法的降维思想有效降低了筛法的时间复杂度,缩小了与枚举算法运行效率的差距.本文在简要回顾高斯筛法和子格筛法的算法思想及运行机理的基础上,提出子格筛法的两种优化方法.通过调整高斯筛法的算法参数,改变算法输出包含的信息,增大了子格筛法的自由维数d,从而降低了算法的时间复杂度;在子格筛法最重要的子程序高斯筛法中加入过滤器,在更新列表向量的同时可以更快地完成筛选,从而将高斯筛法的二次搜索过程降低为亚二次搜索过程,节约了算法的运行时间;综合应用上述两种方法优化子格筛法,提出Filteredα-子格筛法.实验数据表明两种优化方法都能有效提升子格筛法的运行效率.在70–86维的随机格上,Filteredα-子格筛法的运行效率相比于初始子格筛法最高提升了约58.8%,平均提高了约41.7%.

基于遗传策略的格基约化算法

格基约化算法是密码分析的重要工具。该文借鉴遗传算法的基本策略,通过对初始格基的调整变换,提出了一种新的格基约化算法,新算法总能得到给定格中长度更短的向量和质量更高的一组基。利用该算法,针对最短向量问题(SVP)挑战的部分数据进行了测试,新算法的输出结果达到或超过了挑战的公开记录,约化效果良好。

一个新型的NTRU类数字签名方案

NTRU类数字签名方案的一个共同缺陷是签名值会泄露私钥的一些信息.针对这个缺陷,当前已经有若干有效攻击.该文提出一个新型的NTRU类数字签名方案.新方案具有与R-NSS相似的结构,但有若干新颖的设计.文中给出新方案的3个结果:(1)由公钥恢复出私钥的困难性基于若干格上的最小向量问题(SVP);(2)由公钥伪造签名的困难性等价于某个格上的最近向量问题(CVP);(3)每个签名值仍然会泄露私钥的一些信息,但无限制泄露的最终形式只是关于私钥的一组复杂的非线性方程.

格LWE难题下分层的基于身份的签名方案

目前分层的基于身份的签名方案已在不同的密码应用中得到广泛地研究,但由于量子计算机的出现,现有部分方案仍存在安全问题.根据Cash方案中的思想,文中利用随机整格的难题和格基派生技术,以及将签名消息和用户身份id绑定嵌入,构造了一个新的分层的基于身份的签名方案.新方案在标准模型的安全证明下是具有抵御选择身份攻击的安全.同时,由于所提出的新方案是建立在格LWE问题难解性的基础上,因此,在现有的量子计算能力下,新方案比现有基于计算Diffie-Hellman问题的困难性设计的分层的基于身份的签名方案的安全性高.

一种基于格的代理签名方案

由格上基于盆景树原理构造的代理签名,其密钥长度会随代理人所使用格的维数不断变化。为此,提出一种签名长度可控的代理签名方案。根据代理签名长度与格维数的线性递增关系,使用固定维数的格基委托算法生成代理签名密钥,采用原像抽样函数构造代理签名方案,并利用格上小整数解问题和最短向量问题的困难性,对其进行安全性证明。结果表明,该方案在保持代理签名密钥长度不变的同时,可满足代理签名的不可伪造性。

非超递增序列背包加密算法的攻击方法

针对栗风永等人提出的非超递增序列背包加密算法(计算机工程与设计,2011年第2期),设计基于格攻击的2种攻击方法。方法 1构造维度为3的格,在其上应用LLL算法可直接恢复私钥,时间复杂度为O(n2)。方法 2采用低密度攻击,可以较大概率恢复明文,时间复杂度为O(n3lb(max(bi)))。实验结果表明,栗风永等人提出的算法是不安全的。

旅行商问题的一种启发式算法

用一个有向图表示旅行商避开某一城市到1个顶点的所有最短路径,并在每条弧上定义一个线性表,用以记录所有包含该弧的图,从而将判断某条弧和某个顶点是否应该存在于某个子图中的最短路径上的问题转化为线性表的相关操作,进而讨论了图上的弧都在某一最短路径上的充要条件,以及如何顺序产生第1列到第n列的顶点上的图,如何从这些图上搜索出近似最优解的方法.

一类非确定型多目标指派问题及其算法研究

研究每个人承担的工作数不受限制,但每项工作只能由一人承担的情况下,如何给每个人指派工作,才能使完成所有工作的工期最短,并且在此前提下,使完成所有工作的总用时最少.针对这种多目标非确定型指派问题,本文给出了一种向量标记算法,这种算法不但使用方便,而且有很好的运算效率。

格上筛法研究现状与发展趋势

最短向量问题(shortest vectorproblem,SVP)是格上的基础困难问题之一,是格密码方案安全性的基础假设,SVP求解算法是评估格密码算法具体安全性的关键技术.实用的SVP精确求解算法主要包括筛法和枚举两种类型,其中筛法的时间复杂性更低,是目前实用化格密码算法安全性评估主要使用的算法.筛法由Ajtai-Kumar-Sivakumar于2001年首次提出,其主要思想是将指数多个格向量通过一系列的筛取过程,互相约化,以得到一定数量的长度为O(λ1)的格向量,然后将这些向量两两相减以得到最短非零格向量,其中λ1表示格中最短非零向量长度.二十年来,研究者们不仅在理论上对筛法进行研究和改进,同时也给出了一系列在实际应用中更为高效的启发式算法.针对筛法中复杂度最高的部分,即约化时遍历指数多个格向量的过程,研究者们使用了多种技术对其进行改进,包括生日悖论、局部敏感技术、层次化、元组化、线性化等.本文按照技术发展及时间顺序介绍了格上筛法的发展历史、研究现状和将来的发展趋势.

基于中国剩余定理的公钥加密算法的破解

基于中国剩余定理的快速加密算法,给出了一个启发式的格基规约攻击.该攻击利用公钥构造出格L的一组基,密文构造出目标向量t,则要恢复的明文即为格L中距离向量t很近的向量;利用Kannan的嵌入技术,在格L的基础上构造出一个新格L1,则要恢复的明文就是格L1中很短的向量.由于格L和格L1的维数分别是6和7,攻击者可以用LLL算法找到这2个向量,恢复出明文.实验结果证明攻击是有效的.

基于量子克隆的二面体群隐含子群问题量子算法的研究

基于最短向量问题的格公钥密码体制是典型的抗量子计算密码体制。格的唯一最短向量问题可转化为二面体群的隐含子群问题。有效地求解二面体群的隐含子群问题可攻破基于格的唯一最短向量问题的公钥密码体制。Kuperberg提出了二面体群隐含子群问题的半指数级量子算法。通过研究Kuperberg量子算法,利用概率量子克隆,文中提出了二面体群隐含子群问题的多项式时间量子算法。

格基规约算法研究进展

格是一种线性结构,基于格的密码具有无可比拟的低能耗优势,故而在未来的智能终端上将有很好的应用前景.相比传统的RSA,ECC密码体制,格问题可证明的安全性在后量子密码时代已经显示了重要的作用.格算法的核心问题归结为格基规约问题,20多年来,在LLL格基规约算法启发下,出现了各种更强、更快的规约算法,有精确的也有近似的,对密码分析和密码设计产生了重要的推动作用.对各种规约概念和算法进行了全面的分析和总结.

一种适用于高维格基约化的综合算法

格基约化算法是求解格上最短向量问题(SVP)的一类算法,在格理论中有重要地位,尤其在格理论构造的公钥密码中发挥重要作用.目前公认效率最高的主流算法是Blockwise-Korkine-Zolotarev(BKZ)及其改进形式BKZ 2.0,主要思想是分块约化,调用多项式次的局部格上SVP算法.但是BKZ类算法仍然存在约化程度不够充分、在高维度格中约化效率不高的问题,也存在多种改进的算法.本文在已有算法的基础上,对BKZ结构进行优化,并应用筛法的最新研究成果,设计了一种新的综合算法——Blockwise-Sieving-Reduction(BSR).在预处理阶段,将格矩阵划分后分别进行BKZ预处理,该过程可直接进行并行化.在格基约化阶段,该算法结合BKZ算法与筛法的优点,使用分块逐次增大的多轮BKZ算法进行预处理,并在BKZ结构中使用改进的筛法替代原有的枚举子过程,通过插入向量改进局部格的性质,提高了BKZ算法的效率,使之能在更大的分块下求解SVP.针对更高维度的格矩阵,设计了递归调用的算法变种,称为i-BSR算法,该算法使用了渐进约化等实现技术,可以进行更大维度格的约化.从理论角度进行分析,论证了该算法可以进行格基约化并求格上短向量.实验结果表明,该算法在较大分块下,能够以可接受的时间代价完成SVP求解,且得到的向量优于已有算法的实验结果,新算法得到的首向量长度可以缩短至BKZ 2.0的90%.

隐含子群问题的研究现状

在Shor发现大整数因子分解问题的有效量子算法之后,量子计算迫使我们重新审视现有的密码系统。隐含子群问题是量子计算在群结构上的推广,它暗示通过考虑不同的群和函数来解决更困难的问题,以期找到新的指数倍快于其经典对应物的量子算法。有限交换群隐含子群问题的研究已有相对固定的研究框架和方法,而非交换群隐含子群问题的研究一直很活跃。研究表明,二面体群隐含子群问题的有效解决可能攻破基于格的唯一最短向量问题的密码体制,图同构问题可以转化为对称群隐含子群问题。文中对隐含子群问题的研究现状进行综述,希望能够吸引更多研究者对隐含子群问题的注意。最后为隐含子群问题未来的研究方向提出参考意见。

Solving Closest Vector Instances Using an Approximate Shortest Independent Vectors Oracle

Given an n-dimensional lattice L and some target vector, this paper studies the algorithms for approximate closest vector problem （CVPγ） by using an approximate shortest independent vectors problem oracle （SIVPγ）. More precisely, if the distance between the target vector and the lattice is no larger than c/γn λ1（L） for arbitrary large but finite constant c 〉 0, we give randomized and deterministic polynomial time algorithms to find a closest vector, while previous reductions were only known for 1/2γn λ1（L）. Moreover, if the distance between the target vector and the lattice is larger than some quantity with respect to λn（L）, using SIVPγ oracle and Babai＇s nearest plane algorithm, we can solve CVPγ√n in deterministic polynomial time. Specially, if the approximate factor γ ∈ （1, 2） in the SIVPγ oracle, we obtain a better reduction factor for CVP.

基于格的数字签名方案研究与设计

NTRU是一种公钥密码体制,由于其效率高、快速、运算方便、可抵抗量子计算,因此取得了广泛的应用,密码学界广泛认为其安全性基于理想格中最近向量的困难问题,本文将介绍一种基于格上难题(最短向量NP问题)的NTRU型数字签名方案的密钥生成,加密算法,解密算法的具体实现过程。

格基约化算法及其在密码分析中的应用综述

格基约化算法是密码分析中的一个重要工具,在RSA、DSA和背包体制等经典公钥密码算法的安全性分析和一些新型格密码体制的安全参数评估中发挥着重要作用。首先,给出格的一些基本概念并介绍格中一些困难问题;其次,归纳整理已有格基约化算法并总结梳理格基约化算法在密码分析中的应用;最后,对格基约化算法研究重点和趋势进行了总结和展望。

一个基于ISIS问题签名方案的分析与改进

量子计算具有强大的计算能力。利用量子计算,一些传统的数学困难问题可以被解决,例如:基于大整数因子分解问题、离散对数问题等。2017年,Gupta提出了一个基于格的签名方案,在基于格理论的SIS问题和ISIS问题困难性假设前提下,称提出的签名方案是不可伪造的。笔者对Gupta的方案进行了研究,指出在适应性选择消息攻击下方案是不安全的,并给出了一个新方案。在随机预言模型下证明了新方案的安全性,并将新方案与同类型的5个方案在存储成本方面进行了比较,结果显示出新方案具有更高的效率。

Improved lower bound for the complexity of unique shortest vector problem

Unique shortest vector problem(uSVP)plays an important role in lattice based cryptography.Many cryptographic schemes based their security on it.For the cofidence of those applications,it is essential to clarify the complex-ity of uSVP with different parameters.However,proving the NP-hardness of usVP appears quite hard.To the state of the art,we are even not able to prove the NP-hardness of usVP with constant parameters.In this work,we gave a lower bound for the hardness of usVP with constant parameters,i.e.we proved that uSVP is at least as hard as gap shortest vector problem(GapSVP)with gap of O(√n/log(n)),which is in NP n coAM.Unlike previous works,our reduction works for paramters in a bigger range,especially when the constant hidden by the big-O in GapsVP is smallerthan1.