[发明专利]一种基于编码的抗量子密钥协商方法

说明书

本发明实施例提供一种基于编码的抗量子密钥协商方法，所述方法通过基于随机线性码的译码困难问题构造了一种新的IND‑CCA安全的密钥协商方案，使用了秩距离码，由于其能大大减少公钥长度，因而使得方案公钥规模大大减少；同时由于使用了Gabidulin码来对明文译码，因此本密钥协商方案没有译码失败率。

技术领域

本发明实施例涉及数据加密技术领域，具体涉及一种基于编码的抗量子密钥协商方法。

背景技术

随着实用量子计算机迫近的脚步，目前广泛使用的基于大整数分解的RSA公钥密码方案和基于椭圆曲线离散对数的公钥密码方案都将不再安全，公钥密码都在朝抗量子攻击，即后量子公钥密码方向转移。目前普遍认为基于格、编码等的公钥密码能抵抗量子攻击。特别是2017年11月底，美国NIST全世界征集后量子公钥方案，已有69个方案进入第一轮评估。

尽管基于格理论中的Ring-LWE的方案如Newhope,Kyber,基于编码中的quasi-cyclic线性码的方案如HQC,RQC,QC-MDPC等都大大减少了公钥长度，但是它们的安全性由于不是随机格和随机线性码没有证明,目前只有基于LWE问题的NIST候选算法FrodoKem和利用Goppa码的NIST候选算法Classic McEliece的安全性有保证，前者基于的LWE问题可以约化为格困难问题，后者已经经过四十多年的攻击，目前仍然没有有威胁的攻击。

遗憾的是，FrodoKEM和Classic McEliece方案中，公钥的规模都很大，其中FrodoKEM在安全级别达到128比特的公钥是9616字节，192比特安全性的公钥规模是15,632字节，而Classic McEliece方案128比特和256比特安全级别下分别是368,282字节和1,046,737z字节。

目前，缺少一种安全性有保障、公钥规模又小的抗量子的密钥协商方法。

发明内容

本发明实施例提供一种基于编码的抗量子密钥协商方法，用以解决现有缺少一种安全性有保障、公钥规模又小的抗量子的密钥协商方法的缺陷。

根据本发明实施例的第一个方面，提供一种基于编码的抗量子密钥协商方法，包括：

随机生成一个长为256位的二进制数作为第一种子Seed_H；

基于一个可输出任意长度值的第一哈希函数生成一个在有限域上的n*n的矩阵H；其中，所述第一哈希函数的参数为Seed_H；

随机生成一个长为256位的二进制数作为第二种子Seed_X；随机生成一个长为256位的二进制数s；

基于一个可输出任意长度值的第二哈希函数生成两个在有限域上的n*n₁的矩阵X和Y；其中，所述第二哈希函数的参数为Seed_X，n≥2，n₁≥2且n₁n；X和Y两个矩阵的秩重量为W；

获取新的矩阵Q＝HX+Y；

获取公钥pk为Seed_H和Q，私钥为X。

进一步，所述方法，还包括：

在有限域上随机选择一个长度为k的明文M；

基于以pk和M为参数的哈希函数P(pk,M)生成(K，d,Seed_E)；其中，K为Fujisaki-Okamoto转换中的中间共同会话密钥，d为Fujisaki-Okamoto转换中的校验值，Seed_E为加密算法中的产生随机噪音的种子；

基于加密函数Loong.CPAPKE.Enc(Seed_H，Q，M；Seed_E)，返回的输出值为密文C；