基于模格的密钥封装方案的比较分析与优化

作     者：王洋 沈诗羽 赵运磊 王明强 Wang Yang;Shen Shiyu;Zhao Yunlei;Wang Mingqiang

作者机构：山东大学数学学院济南250100 复旦大学计算机科学技术学院上海200433 密码技术与信息安全教育部重点实验室(山东大学)济南250100 

基　　金：国家自然科学基金项目(61672019,61832012,61877011,61472084) 国家重点研发计划项目(2017YFB0802000) 国家密码发展基金(MMJJ20180210) 山东省重点研发项目(2017CXG0701,2018CXGC0701) 

出 版 物：《计算机研究与发展》 (Journal of Computer Research and Development)

年 卷 期：2020年第57卷第10期

页      码：2086-2103页

摘      要：到目前为止,不使用复杂纠错码的基于模LWE LWR问题设计的高效密钥封装方案主要有2类:1)如Kyber,Aigis和Saber直接基于(对称或非对称)模LWE LWR问题设计;2)如AKCN-MLWE和AKCN-MLWR基于密钥共识机制结合模LWE LWR问题设计.一般来说,在满足一定安全性和实现效率的基础上,实际应用中构造的密钥封装方案会通过压缩一些通信比特来达到节省通信带宽的目的.据作者所知,现存文献的关注点一般集中在详细分析对应某具体参数条件下密码体制的安全性,还没有文献系统地分析上述2类构造方式的异同以及采用相同(或不同)压缩函数情况下不同参数选择与错误率的关系.从理论上系统地比较了直接基于LWE LWR构造的密钥封装方案和基于密钥共识机制结合模LWE LWR问题设计的密钥封装方案的异同,并从理论分析和实际测试2方面证明了当采用相同的压缩函数和相同的参数设置时,AKCN-MLWE采用的构造方式要优于Kyber采用的构造方式,而Saber采用的构造方式本质上与AKCN-MLWR是相同的.针对Kyber-1024这一组参数对应的安全强度,还详细分析了3种封装512 b密钥长度的方法.根据理论分析和大量的实验测试,给出了AKCN-MLWE和AKCN-MLWR的新的优化建议和参数推荐,也给出了对于Aigis和Kyber的优化方案(对应的命名为AKCN-Aigis和AKCN-Kyber)和新的参数推荐.

主 题 词：后量子密码 模LWE LWR问题 密钥封装方案 密钥共识 错误率分析 

学科分类：0839[0839] 08[工学] 081201[081201] 0812[工学-测绘类] 

核心收录：

D　O　I：10.7544/issn1000-1239.2020.20200452

馆 藏 号：203979730...