[发明专利]一种后量子密码构造中环上舍入学习的通用软件实现方法

说明书

本发明公开了一种后量子密码构造中环上舍入学习的通用软件实现方法，其步骤包括：A、设定RLWR参数N、f、p、q、S，以及实际运行平台的CPU位数B；B、根据参数N、f、q、S、B，选取一多项式乘法实现算法，记为PMA，生成该多项式乘法实现方案中可预计算的参数；C、根据参数q和已选取的多项式乘法的实现方案PMA，选取一可用模约化方法作为模约化的实现方案，记为MRA；D、根据参数p、q选取一舍入计算实现方法，记为RA，生成该舍入计算实现方案中可预计算的参数；E、对于输入的多项式a(x)和s(x)，计算并输出RLWR分布中的对应值b(x)。

技术领域

本发明属于后量子格密码领域，特别是涉及一种后量子密码构造中环上舍入学习的通用软件实现方法。

背景技术

随着量子计算机的深入研究和快速发展，互联网中广泛部署的传统公钥密码体制面临被彻底攻破的风险，发展能抵抗量子攻击的后量子公钥密码体制是当前密码学界的研究及应用热点之一。现有构造后量子密码体制的底层数学资源包括：格、多变量方程、超奇异椭圆曲线同源问题、纠错码、哈希函数等，目前公开的几类后量子密码体制中，格密码凭借适用性广泛、可并行实现以及存在最坏情形下底层困难问题的安全性归约等优势，被认为是最有前景的后量子公钥密码候选方案之一。

舍入学习(Learning with Rounding，LWR)和环上舍入学习(Ring Learning withRounding，RLWR)作为具有确定误差的底层函数，是基于格的后量子密码原语的重要构造单元，目前已广泛应用于低深度伪随机函数、有损陷门函数、确定性公钥加密和密钥交换协议等基础后量子密码构造。由于去除了带错学习(Learning with Error，LWE)中的随机误差采样模块，相同安全等级下基于LWR的密码体制实现效率相对较高，此外还具有对计算资源需求较少、受侧信道攻击风险较低等优势。在此基础上，RLWR密码体制能够在减小密文长度、提升实现效率的情况下达到与LWR密码体制基本相当的安全性，因此，已有的格密码方案设计大部分采用了环结构，例如NIST后量子密码标准算法征集中的Lizard、Round2、Round5和SABER都是采用环结构的LWR方案。

RLWR分布定义为()，其中a和s是多项式环上的多项式，f(x)为N次首一多项式，正整数q≥p≥2，舍入计算即映射假设多项式a的系数多项式s的系数RLWR分布中b(x)的计算可大致分为三步：首先计算整数域上的多项式乘法，即计算b₁(x)＝a(x)·s(x)；然后对b₁(x)执行模多项式和模整数操作，即计算b₂(x)＝((b₁(x)mod f(x))mod q)；最后计算b₂(x)的舍入值，即因此，RLWR实现通常涉及多项式乘法、模约化和舍入计算三项基础操作。

整数域上常用多项式乘法快速实现算法有Karatsuba、Toom-Cook、稀疏乘法、快速傅里叶变换(Fast Fourier Transform，FFT)以及数论变换(Number TheoreticTransform，NTT)，其中NTT乘法算法和FFT乘法算法的理论时间复杂度最低，稀疏乘法算法的效率取决于多项式系数的稀疏程度。实际中稀疏乘法算法和NTT乘法算法的效率可以达到较优水平，但二者均存在一定的限制条件：稀疏乘法算法只适用于其中一个输入多项式的系数取自0-1分布的RLWR；NTT算法需要在上进行运算，其中间值(特别是中的两个整数在整数域上的乘积)不能超过计算机能直接处理的整数上界，即NTT模数M存在上界，因此NTT乘法算法只适用于参数N、q、S较小的RLWR。

模约化操作包括模多项式和模整数。注意，采用特殊多项式乘法实现方案时，可省略模约化操作：若采用了基于NTT负折叠卷积的多项式乘法算法，则可省略模多项式操作；若多项式乘法采用了模数M＝q的NTT或NTT负折叠卷积，则可省略模整数操作。模首一多项式通常可采用减法迭代算法实现。模整数快速实现方法有Montgomery算法、Barrett算法、按位与运算和无优化的模运算，其中按位与运算的效率最高，但只适用于q为2的方幂的RLWR。