[发明专利]一种基于格的加密方法

说明书

本发明公开了一种基于格的加密方法，其步骤包括：1)生成私钥S，公钥为(B,A)；2)发送方利用接收方公钥计算C₀＝VA+pE₁以及计算C＝VB+pE₂；3)发送方对矩阵C的各分量多项式的各系数对d求余数，将得到的余数多项式矩阵记为rem(C)，并令W＝rem(C)·D^‑1mod p；然后计算得到C₁＝C₀+M‑W；4)发送方对矩阵C的各分量多项式的各系数对d求商，将得到的商多项式矩阵记为C₂＝quo(C)；然后输出密文(C₁，C₂)。本发明以低位隐藏密文，可以和其它技术结合起来使用，再达到高低位同时隐藏的目的；同时，由于引入了密文压缩的技术，也降低了通信的带宽需求。

技术领域

本发明属于信息安全技术领域，具体涉及一种基于格的加密方法。

背景技术

随着Shor算法的提出，大数分解和离散对数问题在多项式时间内可以用量子计算机解决。因此，基于经典数论难题的公钥加密体制在量子计算机面前毫无安全性可言。许多国家和地区开始投入巨大的人力物力来研制抗量子的密码算法以替代现有公钥算法，其中最有影响力的是美国标准与技术局发起的后量子算法征集项目。该项目得到了国际上广泛的关注。

作为基于数论难题的公钥密码的替代，基于格的密码被广泛认为是最有潜力的后量子密码之一。目前量子计算机尚未能对格密码造成威胁。特别是，格难题往往具有最难情形困难性保证，目前这是其他后量子密码所不具有的良好性质。

基于格设计的公钥加密算法所采用的底层困难问题一般为LWE问题及其在环或模上的变种。格加密往往采用类ElGamal结构。以环LWE(RLWE)版本为例，其结构一般如下：

密钥生成:按照某种高度集中的分布抽取短多项式s，e,计算公钥(a，b＝as+e),私钥s。

加密:按照某种高度集中的分布抽取短多项式r，e₁，e₂,计算密文c₁＝ar+e₁，c₂＝Encode(m)+(br+e₂)，其中Encode(m)为消息m的某种编码。

解密:计算Decode(c₂-c₁s)来恢复消息,其中Decode为解码函数。

其中，对消息m最常见的编码是即将消息隐藏在密文c₂的高比特位。

发明内容

本发明的目的在于提供一种基于格的加密方法，其底层困难问题是模LWE(MLWE)问题。

本发明涉及到剩余类环Z_q，当q为正偶数时，选取作为Z_q的代表元；当q为正奇数时，选取作为Z_q的代表元。

对于Z_q中的任意元素x，和给定的非零正整数d,由整数环上的带余除法，可以得到x的表示如下：

x＝d·quo(x)+rem(x)

其中quo(x)为x除以d的商，rem(x)为相应的余数且满足-d/2<＝rem(x)<d/2。