申请/专利权人：中国科学院重庆绿色智能技术研究院

申请日：2022-06-12

公开（公告）日：2024-04-16

公开（公告）号：CN115150094B

主分类号：H04L9/32

分类号：H04L9/32;H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.04.16#授权;2022.10.25#实质审查的生效;2022.10.04#公开

摘要：本发明为一种基于MLWE和MSIS的可验证解密方法，属于信息安全领域。该方法包含以下步骤：S1：设定可验证解密方法的相关参数；S2：根据安全参数生成密钥；S3：利用公钥对明文向量进行加密并公开；S4：验证者进行同态计算；S5：证明者利用私钥解密；S6证明者和验证者执行非交互式零知识证明。本发明改造具有零知识特性的数字签名方案Dilithium的无公钥压缩框架，为Kyber的IND‑CPA安全公钥加密方案解密的正确性构造了一个基于格困难假设MLWE和MSIS的实用、高效、简洁的可验证解密方案，能够用于解决两方安全计算场景中所涉及的可验证解密问题。

主权项：1.一种基于MLWE和MSIS的可验证解密方法，由证明者和验证者两方参与进行实现，无需可信第三方参与，其中，为持有私钥的一方，为执行计算的一方，其特征在于：该方法包含以下步骤：S1：设定MLWE和MSIS的可验证解密方法的相关参数：λ，n，q，k，du，dv，dh，γ，η1，η2，τ，l；其中，λ为安全参数，由预判敌手攻击次数小于等于2λ计算得出；n为多项式环的次数，为2的幂次；q为模数，满足q≡1mod2·n；k为向量维数，是根据安全参数λ选取的正整数；du、dv分别对应调用Kyber的IND-CPA安全公钥加密方案产生的密文c＝u，v压缩后的比特数；dh为压缩函数的参数，表示数据压缩后的比特数；γ为k+1维多项式向量y的系数界；η1为Kyber中私钥s、噪声向量e、随机向量r的系数界；η2为Kyber中密文噪声e1、e2的系数界；τ是挑战值h中含有±1的个数，根据安全参数λ、Rq上多项式的次数n选取，需满足l为||-s，1·h||∞的界，根据私钥s的系数界η1以及参数τ计算得出，||·||∞为无穷范数；S2：证明者调用Kyber的IND-CPA安全公钥加密方案中的密钥生成算法，生成公私钥对pk，sk，证明者持有私钥并将公钥公开；S3：证明者和验证者调用Kyber的IND-CPA安全公钥加密方案中的加密算法，分别利用公钥对各自的明文向量进行加密，得到密文向量并公开；S4：验证者对密文向量中的各个分量进行同态计算生成同态密文，完成同态计算后，利用自举刷新同态密文，并公开刷新后的同态密文S5：证明者调用Kyber的IND-CPA安全公钥加密方案中的解密算法，利用私钥s对同态密文c进行解密，得到c对应的明文m＝Compressqv-sTu，1∈R2；其中，压缩函数定义为y＝Compressqx，d＝「2dq·x」mod+2d；输入为d＜「log2q」，输出为y∈{0，...，2d-1}，表示四舍五入；mod+为取模运算符，设α为正整数，定义r′＝rmod+α表示r′的取值范围是[0，α；S6：证明者构造明文0∈R2对应的Kyber密文向量随机选取系数界为γ的k+1维多项式向量y，取y的前k维生成向量S7：证明者首先对双方所持数据之间差异值的分布进行估计，以压缩函数的函数值出现跳变时对应的自变量取值点为中心，以截取的差异值的界为半径构造跳变区间，将所持数据c′T·y和处于跳变区间的系数下标分别保存于集合E1、E2中，并置零这些系数，然后通过散列函数计算挑战值h，随后计算应答值并且仅当||z||∞＜γ-l时才接受，否则回到步骤S6重新执行，将m、h、z、E1、E2进行连接整合成证明π＝m，h，z，E1，E2，并将该证明通过安全信道发送给验证者S8：验证者接收到证明π后，计算明文0∈R2对应的Kyber密文向量取应答值z的前k维作为向量再利用集合E1、E2中的系数下标将所持数据c′T·z、对应的系数分别置零并计算哈希值，然后将该哈希值与证明π中的挑战值h进行比较验证，同时验证||z||∞，若计算的哈希值与证明π中的挑战值h不相等或者||z||∞≥γ-l则验证失败，输出0表示拒绝，否则验证成功，输出1表示接受。

全文数据：

权利要求：

百度查询： 中国科学院重庆绿色智能技术研究院 一种基于MLWE和MSIS的可验证解密方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD