Micciancio 和 Peikert 提出的基于随机格的陷门生成算法

最新推荐文章于 2023-01-06 15:30:17 发布
最新推荐文章于 2023-01-06 15:30:17 发布
阅读量1.3k 收藏 7
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44830789/article/details/106269081
版权

1.陷门的构造

单向陷门函数:已知x, 很容易求解y=f(x); 但是已知f(x),很难求解x, 需要一些额外的知识kx=f^{-1}(y,k)

1.本原矩阵 G=\begin{bmatrix} ...g^{t}... & & & \\ & ...g^{t}... & & \\ & & \cdots& \\ & & & ...g^{t}... \end{bmatrix}\in Z_q^{n\times nk},  其中g^{t}=[1, 2 ,4 ,\cdots, 2^{k-1}]\in Z^{1\times k}_{q}

2 随机化 G\rightarrow A 通过幺模矩阵,这个转换过程是陷门                                                                                                                                           

 

定义:设矩阵A\in Z^{n\times m}_qG\in Z_q^{n\times \omega nk},m\geq \omega \geq n, 矩阵AG-陷门是矩阵R\in Z^{(m-\omega )\times \omega }_q.。设可逆矩阵H\in Z^{n\times n}_q,有以下等式成立。其中H可以作为陷门的标签,最大谱范数S_1(R)可以判断陷门的质量。

  • 均匀随机选取\overline{A}\in Z^{n\times\overline{ m}}_q, 定义了半随机矩阵 [\overline{A}| HG]
  • 通过高斯抽样 R\in Z^{\overline{m} \times n\log q }_qA=[\overline{A}|HG]\cdot \underbrace{\begin{bmatrix} I & -R\\ 0 & I \end{bmatrix}}_{unimodular }=[\overline{A}|HG-\overline{A}R],当且A是均匀的,满足 \widetilde{m}=n\log q,输出均匀随机矩阵A

2.高斯原像抽样

如果抽样\textbf{x}来自于集合\Lambda ^{\perp }_{\textbf{u}}(\textbf{G}),满足r\geqslant 2\sqrt{ln(2n(1+1/\varepsilon ))/\pi }, 那么抽样\textbf{y}=\begin{bmatrix} R\\ I \end{bmatrix}\cdot\textbf{x}来自于集合\Lambda ^{\perp }_{\textbf{u}}(\textbf{A})。由于\begin{bmatrix} R\\ I \end{bmatrix}不是方阵,所以协方差COV=r^2\begin{bmatrix} R\\ I \end{bmatrix}\begin{bmatrix} R^t& I \end{bmatrix}非满秩的,y的分布式是非球体的可能会泄露陷门的消息。

正常的高斯分布

非球体的高斯分布

我们需要添加一个扰动\textbf{p},使高斯原像抽样服从高斯分布,该方法叫高斯卷积(‘convolution technique’.)

高斯卷积方法:

             

那么扰动\textbf{p}协方差是\Sigma _{\textbf{p}}=s^2-r^2\begin{bmatrix} R\\ I \end{bmatrix}\begin{bmatrix} R^t& I \end{bmatrix},  其中s\geqslant (s_1(\textbf{R})+1)(\Sigma _{\textbf{G}}+2)

\textbf{v}=\textbf{u}-\textbf{A}\textbf{P}, 那么抽样\textbf{y}=\begin{bmatrix} R\\ I \end{bmatrix}\cdot\textbf{x}来自于集合\Lambda ^{\perp }_{\textbf{v}}(\textbf{A})

输出高斯原像抽样\textbf{z}=\begin{bmatrix} R\\ I \end{bmatrix}\cdot\textbf{x}+\textbf{p}

 

 

导导96
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
签名中陷门生成和原像采样的联系
qq_44775134的博客
08-18 2246
都是采样技术(Sampling Techniques) 定理2.1(陷门生成算法).令整数q>3,m>5nlog⁡qq > 3, m > 5n\log qq>3,m>5nlogq,存在一个有效的算法 TrapGen(q,m)TrapGen(q,m)TrapGen(q,m),该算法能够在多项式时间内生成一个矩阵A∈Zqn×mA\in \Z_q^{n\times m}A∈Zqn×m​和Λ⊥(A)\Lambda^\perp(A)Λ⊥(A)的一个基TA∈Zm×mT_A..
单向陷门函数
weixin_41704428的博客
05-22 7467
定义:    单向陷门函数是有一个陷门的一类特殊单向函数。单向陷门函数包含两个明显特征:一是单向性,二是存在陷门。所谓单向性,也称不可逆性,即对于一个函数y=f(x),若已知x要计算出y很容易,但是已知y要计算出x=f ^(-1) (y)则很困难。单向函数的命名就是源于其只有一个方向能够计算。所谓陷门,也成为后门。对于单向函数,若存在一个z使得知道z则可以很容易地计算出x=f ^(-1) (y),...
密码:陷门OWF(Short Basis、Gadget)
weixin_44885334的博客
11-03 3281
OWF 基于SIS的OWF 随机矩阵A∈Zqn×mA \in Z_q^{n \times m}A∈Zqn×m​,输入短向量x∈Zmx \in Z^mx∈Zm,定义fA(x):=Ax∈Zqnf_A(x):=Ax \in Z_q^nfA​(x):=Ax∈Zqn​ L=L⊥(A):={z∈Zm∣Az=0∈Zqn}⊇qZmL=L^{\perp}(A):=\{z \in Z^m|Az=0 \in Z_q^n\} \supseteq qZ^mL=L⊥(A):={z∈Zm∣Az=0∈Zqn​}⊇qZm 基于L
陷门函数Trapdoor Function
小熊划水博
07-04 9169
陷门函数:正向计算是很容易的,但若要有效的执行反向计算则必须要知道一些secret/key/knowledge/trapdoor(知识?),也称为伪随机置换,可用于构造公钥密码系统。 若 f 为陷门函数,则 y = f (x) 是很容易计算的,但若要计算 x = f(-1) (y) 则是困难的, 若已知一些额外的knowledge(trapdoor/key) k , 则计算  x = f(-1...
最早的公钥算法--单向陷门函数
u011893782的博客
07-28 3980
陷门原指Bug漏洞,这里却巧妙的成为非对称密码算法的科学方法。这种非对称密码算法比RSA早7年。 这种陷门单向算法函数可以实现公钥加密,但无法做数据签名,还不是完善的非对称算法。 单向陷门函数(Trapdoor One-way Function) ,满足下列条件的函数fff: (1)正向计算容易,即如果知道了密钥pxpxpx和消息xxx,容易计算y=fpx(x)y=f_px (x)y=fp​x(x)。 (2)在不知道密钥sksksk的情况下,反向计算不可行,即如果只知道消息yyy而不知道密钥sksksk.
Falcon Chapter 2(下)
weixin_45236003的博客
01-06 481
在本节中,我们将总结参数之间的相互作用。由此产生的参数选择过程在Supporting_Documentation/additional/parameters.py,中是自动化的,这也给出了密钥恢复和伪造的核心SVP硬度。查询次数Qs、目标安全级别λ和环度n。我们从三个初始参数开始:签名查询 Qs 的最大数量、目标安全级别 λ 和环 Z[x]/(+ 1) 的程度。根据 [NIS16],QS = 264。
新的上基于身份的全同态加密方案
01-14
分析以往上基于身份的全同态加密方案,指出方案效率低的根本原因在于陷门生成和原像采样过程的复杂度过高,为此提出一种新的解决方案。先将新型陷门函数与对偶容错学习(LWE,learning with errors)算法有机结合...
新的上基于身份的分级加密方案
01-14
针对上基于身份的分级加密(HIBE,hierarchical identity-based encryption)体制中用户密钥提取算法复杂度过高和陷门尺寸膨胀率大的问题,提出一种新的HIBE方案。首先,利用隐式扩展法对HIBE方案中的原像采样算法...
基于的代理签名方案
02-21
利用原像采样单向陷门函数和盆景树下的扩展及基的随机化方法基于<br /> 构造了一个代理签名方案<br /> 在随机预言机下基于平均情况的小整数解问 题 和非均匀 小 整 数 解 问 题 的 困<br />...
论文研究-高效的上基于身份的签名方案.pdf
07-22
利用MicciancioPeikert在Eurocrypt’12上提出陷门生成算法GenTrap、原像抽样算法SampleD和陷门委托算法DelTrap构造了一个新的基于的IBS方案,在标准模型下基于小整数解(SIS)问题证明了所提出的方案满足选择...
论文研究-基于随机背包公钥密码的攻击.pdf
07-22
针对基于随机背包公钥密码方案, 根据方案不同参数分别给出了恢复私钥攻击和恢复密文中明文的攻击, 并通过计算实例验证攻击有效。因此证明了基于随机背包中公钥方案是不安全的。
AES 加密
weixin_30249203的博客
07-21 106
package com.sprucetec.tms.utils;import java.security.Key;import javax.crypto.Cipher;import javax.crypto.KeyGenerator;import javax.crypto.SecretKey;import javax.crypto.spec.SecretKeySpec;public cl...
Boneh的PEKS的python实现
cbq07xg的博客
02-25 1598
我们将大数据存储在云服务器上,为了保护数据隐私,通常会选择先将数据加密后再上传。可搜索加密(Searchable Encryption)研究如何在密文上进行关键字搜索,分为对称可搜索加密(Searchable Symmetric Encryption)和公钥可搜索加密(Public-key Encryption with Keyword Search,PEKS)。 虽然对称可搜索加密比较快,...
计算机随机数的产生
12-15 5667
计算机中随机数的产生大家可能很多次讨论过随机数在计算机中怎样产生的问题,在这篇文章中,我会对这个问题进行更深入的探讨,阐述我对这个问题的理解。首先需要声明的是,计算机不会产生绝对随机随机数,计算机只能产生“伪随机数”。其实绝对随机随机数只是一种理想的随机数,即使计算机怎样发展,它也不会产生一串绝对随机随机数。计算机只能生成相对的随机数,即伪随机数。伪随机数并不是假随机数,这里的“
密码学重要概念: 拒绝采样技术
qq_44775134的博客
08-19 1565
拒绝采样技术
全同态加密
热门推荐
yuxinqingge的博客
02-28 1万+
1976 年,Diffie 和 Hellman[DH76] 开创了公钥密码学,在密码学发展中具有划时代的意义。 不久,Rivest 等人 [RSA78] 提出第一个公钥加密 方案:RSA加密方案。Rivest等人[RAD78]随 后就指出 RSA 加密系统具有乘法同态性质:给定两个密文 C1=m18modN 和 C2=m28modN,通过计 算,c1·c2 modN=(m1m2)8 modN, 我...
签名重要论文简介1-GPV08
qq_44775134的博客
10-26 1497
Craig Gentry and Chris Peikert and Vinod Vaikuntanathan,2008,Trapdoors for Hard Lattices and New Cryptographic Constructions,IACR链接 1主要贡献 使用原像采样的陷门函数 高效hash-and-sign数字签名方案 IBE 2技术综述 高斯采样算法 3签名方案 ...
K-means聚类.py ACM比赛常用算法k-means算法
最新发布
07-14
K-means聚类.py ACM比赛常用算法k-means算法

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值