多变量密码：PMI+加密、Rainbow签名

参考文献：Jintai Ding and Bo-Yin Yang. Multivariate Public Key Cryptography. Post-quantum cryptography. Springer, Berlin, Heidelberg, 2009.

MPKCs

定义

基于多变量的公钥密码系统（multivariate public key cryptosystem），它们的安全性基于求解有限域上非线性方程组属于NP-hard类。为了计算效率，同时也为了安全性，MPKC的带陷门OWF都是多元二次多项式映射（ multivariate quadratic polynomial map）：
$$\mathbb{P}:=(p_1(w_1,\cdots ,w_n),\cdots ,p_m(w_1,\cdots ,w_n))$$
其中
$$p_k(w\text{w}w):=\sum _i{P}_{ik}{w}_i+\sum _i{Q}_{ik}{w}_i^2+\sum _{i>j}{R}_{ijk}{w}_i{w}_j$$
都是$K=F_q$上的（二次）非线性多项式。

MPKCs的优势是加密解密、签名验签的速度很快（比ECDSA还快），缺点是密钥存储的开销很高（几万字节）。

安全性

Problem MQ：求解非线性系统$p_1(x)=\cdots =p_m(x)=0$，其中$p_i$都是关于$x=(x_1,\cdots ,x_n)$的二次多项式，所有的系数和所有的变量都属于域$K=F_q$；这个问题是NP-hard的。

当然，随机的二次方程组不一定有陷门。在MPKC中要用到多项式方程组的代数结构，即多元多项式环的理想。这也导致MPKC的安全性实际上不再等同于MP问题的NP困难性。就如同RSA依赖数论，MPKC依赖代数几何（ algebraic geometry）。

标准结构（Standard Bipolar Construction）

MPKC利用两个可逆仿射变换（affine map）$S:K^n\to K^n,T:K^m\to K^m$来隐藏中心映射（central map）$Q:K^n\to K^m$，即$P=T\circ Q\circ S:K^n\to K^m$
$$P:w\text{w}w\stackrel{S}{\mapsto }x\text{x}x=M_{S}w\text{w}w+c_S\stackrel{Q}{\mapsto }y\text{y}y\stackrel{T}{\mapsto }z\text{z}z=M_{T}y\text{y}y+c_T$$
其中$Q$是容易求逆的多元二次多项式映射。$S$用来打乱$w$，$T$用来打乱$Q$，使得$P$与随机二次方程组不可区分。一般地，$S,T$取做线性映射。

上述的$x\text{x}x$的$x_j$叫做中心变量（central variables），从$x\text{x}x$映射到$y_i$的多项式叫做中心多项式（central polynomials），记做$y_i=q_i(x\text{x}x)$。一般地，我们总设计$P(0)=(p_1(0),\cdots ,p_m(0))=0$

MPKCs是算法的三元组：

1. $KeyGen$：设计中心映射$Q$，随机的仿射变换$S,T$，公钥为$P=T\circ Q\circ S$，私钥为$(S,T,Q)$
2. $PubMap$：用于加密或者验签，$z\text{z}z=P(w\text{w}w)$
3. $SecMap$：用于解密或者签名，$w\text{w}w=S^{-1}\circ Q^{-1}\circ T^{-1}(z\text{z}z)$

为了用于加密算法，基本要求是解密得到的信息与原始信息一致，从而$Q:K^n\to K^m$应为单射，于是选取$n\le m$

为了用于签名算法，需要保证每个消息都有原像，从而$Q:K^n\to K^m$应为满射，于是选取$n\ge m$

隐形式（Implicit Form）

隐形式的公开多项式：
$$P(w\text{w}w,z\text{z}z)=(p_1(w\text{w}w,z\text{z}z),\cdots ,p_l(w\text{w}w,z\text{z}z))=(0,\cdots ,0)$$
对应的中心多项式为：
$$Q(x\text{x}x,y\text{y}y)=(q_1(x\text{x}x,y\text{y}y),\cdots ,q_l(x\text{x}x,y\text{y}y))=(0,\cdots ,0)$$
需要满足以下性质：

1. 给定任意的$x^{\prime }$，求解关于$y$的$Q(x^{\prime },y)=0$是容易的
2. 给定任意的$y^{\prime }$，求解关于$x$的$Q(x,y^{\prime })=0$是容易的
3. 方程$Q(x^{\prime },y)=0$是线性的，而方程$Q(x,y^{\prime })=0$是非线性的

那么我们构造
$$P=Q(S(w\text{w}w),T^{-1}(z\text{z}z))=(0,\cdots ,0)$$
其中$S,T$是可逆仿射变换。

MPKCs是算法的三元组：

1. $KeyGen$：设计中心映射$Q$，随机的仿射变换$S,T$，公钥为$P$，私钥为$(S,T,Q)$
2. $PubMap$：用于加密或者验签，求解方程$P(w\text{w}w,z\text{z}z)=0$得到$z\text{z}z$（因为$Q(x^{\prime },y)=0$是线性的，容易求解）
3. $SecMap$：用于解密或者签名，求解方程$Q(S(w\text{w}w),T^{-1}(z\text{z}z))$得到$w\text{w}w$

MI

1988年 Matsumoto 和 Imai 提出的一种基于多变量的加密方案。

令$K=GF(q)$，它的$n$次扩张$L/K$，可以将$L$视作$K$上的向量空间。考虑$K-$线性双射$\varphi :L\to K^n$，令$\bar{Q}:L\to L$是可逆映射，做映射$Q:K^n\to K^n$
$$Q=\varphi \circ \bar{Q}\circ {\varphi }^{-1}$$
Matsumoto 和 Imai 建议选取$K$的特征为$2$，同时选取
$$\bar{Q}:x\mapsto y:=x^{1+q^{\alpha }}$$
其中$gcd(1+q^{\alpha },q^n-1)=1$，从而存在逆元$h(1+q^{\alpha })\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}{q}^n-1$，那么$Q$可逆
$${\bar{Q}}^{-1}:y\mapsto y^h$$
上述得到的映射$Q$被记做$C_{n,q,\alpha }^{\ast }$，简记为$C^{\ast }$；它总是二次的（quadratic），因为$L$的$K-$自同构（Frobenius map）$x\mapsto x^{q^{\alpha }}$的线性性。$C^{\ast }$的一个重要性质是，
$$y^{q^{\alpha }-1}=x^{q^{2\alpha }-1}$$
利用标准结构构造MPKC，使用$K^n$上的仿射线性可逆映射来隐藏$C^{\ast }$的结构。MI方案被攻破了，由于$C^{\ast }$的双线性关系（bilinear relations）

PMI+

下面给出更安全的 Perturbed Matsumoto-Imai Plus 加密方案。

同样的，$n$次域扩张$L/K$，$K=GF(2)$，映射$C^{\ast }$的定义同上，然后

1. 选择关于$x\text{x}x$的$r$个线性型（linear forms）$v\text{v}v=(v_1,\cdots ,v_r)$，将$v\text{v}v(x\text{x}x)$作为扰动项（perturbation term）
2. 选择关于$v\text{v}v$的$n$个随机二次函数$f\text{f}f=(f_1,\cdots ,f_n)$，
3. 选择关于$x\text{x}x$的$a$个随机二次函数$g\text{g}g=(g_1,\cdots ,g_a)$，

定义中心映射为$Q:=(C^{\ast }+f\text{f}f(v\text{v}v))\Vert g\text{g}g$，从$K^n$映射到$K^{n+a}$上，其各个分量多项式为
$$q_i(x\text{x}x):=\{\begin{array}{rlr}{c}_i^{\ast }(x\text{x}x)+f_i(v\text{v}v(x\text{x}x)),& & i=1,\cdots ,n\\ g_{i-n}(x\text{x}x),& & i=n+1,\cdots ,n_a\end{array}$$

最后的$a$个分量用于保证密文的正确性。给定$y\text{y}y$，为了求逆$x\text{x}x:=Q^{-1}(y\text{y}y)$，令$h$是求逆$C^{\ast }$的指数。我们先将$y\text{y}y$最后的$a$个分量丢弃，然后随机猜测：将$y\text{y}y$的前$n$个分量记做${y\text{y}y}^{\prime }$，然后对于所有可能的扰动项的值$b\text{b}b\in K^r$，计算$x\text{x}x\leftarrow ({y\text{y}y}^{\prime }-f\text{f}f(b\text{b}b){)}^h$，然后检验是否满足$v\text{v}v(x\text{x}x)=b\text{b}b$。如果找到了满足等式的，那么这个$x\text{x}x$就满足$y\text{y}y=Q(x\text{x}x)$，它就是$y\text{y}y$的原像。

因此，解密算法中需要尝试$2^r$次，这比直接求逆$C^{\ast }$慢了$2^r$倍。一种参数的选择为：$(n,r,a,\alpha )=(136,6,18,8)$，公钥大小$167688B$，私钥大小$26324B$，设计安全性（design security）为$2^{83}$

Oil and Vinegar

对于$o,v\in N^{+}$，令$n=v+o$，定义如下的油醋多项式
$$p(x_1,\cdots ,x_n)=\sum _{i=1}^v\sum _{j=i}^v{\alpha }_{ij}{x}_i{x}_j+\sum _{i=1}^v\sum _{j=v+1}^n{\beta }_{ij}{x}_i{x}_j+\sum _{i=1}^n\gamma x_i+\delta$$

1. 醋变量（vinegar variables）：$x_1,\cdots ,x_v$
2. 油变量（oil variables）：$x_{v+1},\cdots ,x_n$
3. Not fully mixed：
   • 不含$o\times o$个油油项
   • 二次项：$v\times v$个醋醋项、$v\times o$个油醋项
   • 线性项：$v$个醋项、$o$个油项。

定义中心映射$Q:K^n\to K^m$，它有$o$个分量
$$Q(x\text{x}x)=(q_1(x\text{x}x),\cdots ,q_o(x\text{x}x))$$

每个分量都为油醋多项式，系数随机取自域$K$，没有常数项。

容易看出，只要确定了所有的醋变量$x_1,\cdots ,x_v$的值，那么油醋多项式就变成了仅关于油变量$x_{v+1},\cdots ,x_n$的线性多项式。我们随机确定醋变量的值，那么$Q$中的$o$个多项式将成为关于$o$个油变量的线性系统，容易求解。

令公钥为$P=Q\circ S$，这里$S$是$K^n$上的可逆线性映射。将$(Q,S)$作为私钥。令$m=o=v=n/2$，可构造原始的油醋签名方案（Oil and Vinegar signature scheme，OV）。由于油变量与醋变量数量是相等的，这导致可以用线性代数给予十分有效的Kipnis-Shamir攻击。当$o<v$时，得到不平衡油醋签名方案（unbalance Oil and Vinegar signature scheme，UOV）

Rainbow

彩虹算法是一种不平衡油醋结构的签名算法。

设置严格递增系列$0<v_1<\cdots <v_{u+1}=n$，令 V l = [ v l ] = { 1 , ⋯   , v l } V_l=[v_l]=\{1,\cdots,v_l\} Vl​=[vl​]={1,⋯,vl​}，那么$\varnothing \subset V_1\subset \cdots \subset V_{u+1}=[n]$。定义一阶差分$o_l:=v_{l+1}-v_l$，以及对应的$O_l:=V_{l+1}\backslash V_l$

令中心映射$Q$的分量为$q_{v_1+1},q_{v_1+2},\cdots ,q_n$，一共$n-v_1$个多项式，它们定义为：
$$k\in Q_l,y_k=q_k(x\text{x}x)=\sum _{i=1}^{v_l}\sum _{j=i}^{v_{l+1}}{\alpha }_{ij}^{(k)}{x}_i{x}_j+\sum _{i<v_{l+1}}{\beta }_i^{(n)}{x}_i$$

明显，对于$k\in O_l$的多项式$q_k$，它不含$i,j\in O_l$的交叉项$x_i{x}_j$（油油项）；从而只要给定所有的函数值$y_i,v_l<i\le v_{l+1}$以及所有的醋变量$x_j,j\le v_l$，那么方程组
$$\begin{array}{r}{y}_{v_l+1}=q_{v_l+1}(x_1,\cdots ,x_{v_l};x_{v_l+1},\cdots ,x_{v_{l+1}};0,\cdots ,0)\\ y_{v_l+2}=q_{v_l+2}(x_1,\cdots ,x_{v_l};x_{v_l+1},\cdots ,x_{v_{l+1}};0,\cdots ,0)\\ ⋮\\ y_{v_{l+1}}=q_{v_{l+1}}(x_1,\cdots ,x_{v_l};x_{v_l+1},\cdots ,x_{v_{l+1}};0,\cdots ,0)\end{array}$$

是关于$O_l$的$x_{v_l+1},\cdots ,x_{v_{l+1}}$的$o_l$个线性方程，因此计算油变量$x_{v_l+1},\cdots ,x_{v_{l+1}}$是容易的。

为了对$Q$求逆，先随机选取$V_1$对应的$x_1,\cdots ,x_{v_1}$。那么$O_1$所对应的那$o_1$个$q_k(\cdot )$成为仅关于$x_{v_1+1},\cdots ,x_{v_2}$的线性系统，我们便获得了$x_1,\cdots ,x_{v_2}$的值。那么$O_2$对应的那$o_2$个$q_k(\cdot )$成为仅关于$x_{v_2+1},\cdots ,x_{v_3}$的线性系统，我们便获得了$x_1,\cdots ,x_{v_3}$的值。继续迭代，可以获得全部的$x_1,\cdots ,x_n$的值。从而中心映射$Q$是容易求逆的。

注意，求逆算法$Q^{-1}$是随机的，同一个$y\text{y}y$会对应很多的$x\text{x}x$，因此构造出的MPKC可以用于签名算法，但不能直接用做加密算法。

实现技巧

对于$K=GF(q)$，一般选取$q=2^k$，$k$很小。从而

1. $K$中元素可以被存储在一个字节里
2. $K$中元素的加法就是字节的异或
3. $K$中元素的乘法可以这么计算，
   • 寻找$K$的本原元$g$，那么非零元都可以表示为$g^i$
   • 制作对数表 { x : i ∣ x = g i } \{ x:i|x=g^i \} {x:i∣x=gi}和指数表 { j : g j } \{ j:g^j \} {j:gj}
   • 为了计算$x,y\in K$的乘积，先查对数表得到${\log }_{g}x,{\log }_{g}y$，然后用它们的和${\log }_{g}x+{\log }_{g}y$来索引指数表，得到$x\cdot y$
4. 如果只做乘法，那么可以将所有元素$x$都存储为离散对数${\log }_{g}x$，计算乘法时只需要计算加法即可

对于扩域$L/K$上的运算，视作$K$上多项式的加法和乘法。乘法可以使用 schoolbook乘法、Karatsuba算法、NTT算法，然后再做长除法或者Barrett算法。

对于$C^{\ast }$的计算，由于$x\mapsto x^{q^{\alpha }+1}=x^{q^{\alpha }}x$，且$\varphi :x\mapsto x^{q^{\alpha }}$是域$L/K$上的线性映射：

1. $(x+y{)}^{q^{\alpha }}=x^{q^{\alpha }}+y^{q^{\alpha }}$
2. $(kx{)}^{q^{\alpha }}=k{x}^{q^{\alpha }}$

因此可以将$\varphi$写作矩阵$M$（每一列是单位向量的像），令$L=GF(q{)}^n$是向量空间。从而$C^{\ast }(x)=(Mx)\cdot x$，线性映射花费$n^2$次操作，多项式模乘花费$2n^2$次操作。

效率对比

可以看出，MPKC的运算速度很快，但密钥规模过大。