Micciancio 和 Peikert 提出的基于随机格的陷门生成算法

最新推荐文章于 2023-01-06 15:30:17 发布
最新推荐文章于 2023-01-06 15:30:17 发布
阅读量1.3k 收藏 7
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44830789/article/details/106269081
版权

1.陷门的构造

单向陷门函数:已知x, 很容易求解y=f(x); 但是已知f(x),很难求解x, 需要一些额外的知识kx=f^{-1}(y,k)

1.本原矩阵 G=\begin{bmatrix} ...g^{t}... & & & \\ & ...g^{t}... & & \\ & & \cdots& \\ & & & ...g^{t}... \end{bmatrix}\in Z_q^{n\times nk},  其中g^{t}=[1, 2 ,4 ,\cdots, 2^{k-1}]\in Z^{1\times k}_{q}

2 随机化 G\rightarrow A 通过幺模矩阵,这个转换过程是陷门                                                                                                                                           

 

定义:设矩阵A\in Z^{n\times m}_qG\in Z_q^{n\times \omega nk},m\geq \omega \geq n, 矩阵AG-陷门是矩阵R\in Z^{(m-\omega )\times \omega }_q.。设可逆矩阵H\in Z^{n\times n}_q,有以下等式成立。其中H可以作为陷门的标签,最大谱范数S_1(R)可以判断陷门的质量。

  • 均匀随机选取\overline{A}\in Z^{n\times\overline{ m}}_q, 定义了半随机矩阵 [\overline{A}| HG]
  • 通过高斯抽样 R\in Z^{\overline{m} \times n\log q }_qA=[\overline{A}|HG]\cdot \underbrace{\begin{bmatrix} I & -R\\ 0 & I \end{bmatrix}}_{unimodular }=[\overline{A}|HG-\overline{A}R],当且A是均匀的,满足 \widetilde{m}=n\log q,输出均匀随机矩阵A

2.高斯原像抽样

如果抽样\textbf{x}来自于集合\Lambda ^{\perp }_{\textbf{u}}(\textbf{G}),满足r\geqslant 2\sqrt{ln(2n(1+1/\varepsilon ))/\pi }, 那么抽样\textbf{y}=\begin{bmatrix} R\\ I \end{bmatrix}\cdot\textbf{x}来自于集合\Lambda ^{\perp }_{\textbf{u}}(\textbf{A})。由于\begin{bmatrix} R\\ I \end{bmatrix}不是方阵,所以协方差COV=r^2\begin{bmatrix} R\\ I \end{bmatrix}\begin{bmatrix} R^t& I \end{bmatrix}非满秩的,y的分布式是非球体的可能会泄露陷门的消息。

正常的高斯分布

非球体的高斯分布

我们需要添加一个扰动\textbf{p},使高斯原像抽样服从高斯分布,该方法叫高斯卷积(‘convolution technique’.)

高斯卷积方法:

             

那么扰动\textbf{p}协方差是\Sigma _{\textbf{p}}=s^2-r^2\begin{bmatrix} R\\ I \end{bmatrix}\begin{bmatrix} R^t& I \end{bmatrix},  其中s\geqslant (s_1(\textbf{R})+1)(\Sigma _{\textbf{G}}+2)

\textbf{v}=\textbf{u}-\textbf{A}\textbf{P}, 那么抽样\textbf{y}=\begin{bmatrix} R\\ I \end{bmatrix}\cdot\textbf{x}来自于集合\Lambda ^{\perp }_{\textbf{v}}(\textbf{A})

输出高斯原像抽样\textbf{z}=\begin{bmatrix} R\\ I \end{bmatrix}\cdot\textbf{x}+\textbf{p}

 

 

导导96
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
签名中门生成和原像采样的联系
qq_44775134的博客
08-18 2256
都是采样技术(Sampling Techniques) 定理2.1(门生成算).令整数q>3,m>5nlog⁡qq > 3, m > 5n\log qq>3,m>5nlogq,存在一个有效的算 TrapGen(q,m)TrapGen(q,m)TrapGen(q,m),该算能够在多项式时间内生成一个矩阵A∈Zqn×mA\in \Z_q^{n\times m}A∈Zqn×m​和Λ⊥(A)\Lambda^\perp(A)Λ⊥(A)的一个基TA∈Zm×mT_A..
单向门函数
weixin_41704428的博客
05-22 7472
定义:    单向门函数是有一个门的一类特殊单向函数。单向门函数包含两个明显特征:一是单向性,二是存在门。所谓单向性,也称不可逆性,即对于一个函数y=f(x),若已知x要计算出y很容易,但是已知y要计算出x=f ^(-1) (y)则很困难。单向函数的命名就是源于其只有一个方向能够计算。所谓门,也成为后门。对于单向函数,若存在一个z使得知道z则可以很容易地计算出x=f ^(-1) (y),...
密码:门OWF(Short Basis、Gadget)
weixin_44885334的博客
11-03 3291
OWF 基于SIS的OWF 随机矩阵A∈Zqn×mA \in Z_q^{n \times m}A∈Zqn×m​,输入短向量x∈Zmx \in Z^mx∈Zm,定义fA(x):=Ax∈Zqnf_A(x):=Ax \in Z_q^nfA​(x):=Ax∈Zqn​ L=L⊥(A):={z∈Zm∣Az=0∈Zqn}⊇qZmL=L^{\perp}(A):=\{z \in Z^m|Az=0 \in Z_q^n\} \supseteq qZ^mL=L⊥(A):={z∈Zm∣Az=0∈Zqn​}⊇qZm 基于L
门函数Trapdoor Function
小熊划水博
07-04 9177
门函数:正向计算是很容易的,但若要有效的执行反向计算则必须要知道一些secret/key/knowledge/trapdoor(知识?),也称为伪随机置换,可用于构造公钥密码系统。 若 f 为门函数,则 y = f (x) 是很容易计算的,但若要计算 x = f(-1) (y) 则是困难的, 若已知一些额外的knowledge(trapdoor/key) k , 则计算  x = f(-1...
最早的公钥算--单向门函数
u011893782的博客
07-28 3981
门原指Bug漏洞,这里却巧妙的成为非对称密码算的科学方。这种非对称密码算比RSA早7年。 这种门单向算函数可以实现公钥加密,但无做数据签名,还不是完善的非对称算。 单向门函数(Trapdoor One-way Function) ,满足下列条件的函数fff: (1)正向计算容易,即如果知道了密钥pxpxpx和消息xxx,容易计算y=fpx(x)y=f_px (x)y=fp​x(x)。 (2)在不知道密钥sksksk的情况下,反向计算不可行,即如果只知道消息yyy而不知道密钥sksksk.
Falcon Chapter 2(下)
weixin_45236003的博客
01-06 484
在本节中,我们将总结参数之间的相互作用。由此产生的参数选择过程在Supporting_Documentation/additional/parameters.py,中是自动化的,这也给出了密钥恢复和伪造的核心SVP硬度。查询次数Qs、目标安全级别λ和环度n。我们从三个初始参数开始:签名查询 Qs 的最大数量、目标安全级别 λ 和环 Z[x]/(+ 1) 的程度。根据 [NIS16],QS = 264。
新的上基于身份的全同态加密方案
01-14
分析以往上基于身份的全同态加密方案,指出方案效率低的根本原因在于门生成和原像采样过程的复杂度过高,为此提出一种新的解决方案。先将新型门函数与对偶容错学习(LWE,learning with errors)算有机结合...
新的上基于身份的分级加密方案
01-14
针对上基于身份的分级加密(HIBE,hierarchical identity-based encryption)体制中用户密钥提取算复杂度过高和门尺寸膨胀率大的问题,提出一种新的HIBE方案。首先,利用隐式扩展对HIBE方案中的原像采样算...
基于的代理签名方案
02-21
利用原像采样单向门函数和盆景树下的扩展及基的随机化方基于<br /> 构造了一个代理签名方案<br /> 在随机预言机下基于平均情况的小整数解问 题 和非均匀 小 整 数 解 问 题 的 困<br />...
论文研究-高效的上基于身份的签名方案.pdf
07-22
利用MicciancioPeikert在Eurocrypt’12上提出门生成算GenTrap、原像抽样算SampleD和门委托算DelTrap构造了一个新的基于的IBS方案,在标准模型下基于小整数解(SIS)问题证明了所提出的方案满足选择...
论文研究-基于随机背包公钥密码的攻击.pdf
07-22
针对基于随机背包公钥密码方案, 根据方案不同参数分别给出了恢复私钥攻击和恢复密文中明文的攻击, 并通过计算实例验证攻击有效。因此证明了基于随机背包中公钥方案是不安全的。
AES 加密
weixin_30249203的博客
07-21 106
package com.sprucetec.tms.utils;import java.security.Key;import javax.crypto.Cipher;import javax.crypto.KeyGenerator;import javax.crypto.SecretKey;import javax.crypto.spec.SecretKeySpec;public cl...
Boneh的PEKS的python实现
cbq07xg的博客
02-25 1599
我们将大数据存储在云服务器上,为了保护数据隐私,通常会选择先将数据加密后再上传。可搜索加密(Searchable Encryption)研究如何在密文上进行关键字搜索,分为对称可搜索加密(Searchable Symmetric Encryption)和公钥可搜索加密(Public-key Encryption with Keyword Search,PEKS)。 虽然对称可搜索加密比较快,...
密码学Efficient Lattice (H)IBE In The Stand Model学习
yumWant2debug的博客
06-15 508
经典的IBE(Identity-Based Encryption)算 初识比较晦涩,因此在此处记录一下。
计算机三级PC专业技术.doc
07-18
计算机
“人力资源+大数据+薪酬报告+涨薪调薪”
最新发布
07-18
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
健康产业商业模式研究大纲-医疗器械-迪安诊断.docx
07-18
健康产业商业模式研究大纲-医疗器械-迪安诊断
计算机期末考试题.doc
07-18
计算机
新型Rabin公钥密码学:基于因子分解的门置换
这篇论文为公钥密码学带来了新的视角,通过创新的Rabin型门置换和基于它的混合加密方案,为解决公钥加密的安全性和实用性问题提供了新的思路。尽管效率还有待提高,但其独特性可能为未来的密码学研究和应用带来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值