利用隱秘矩陣構造的基于身份的全同態(tài)加密方法
【專利摘要】本發(fā)明公開了一種利用隱秘矩陣構造的基于身份的全同態(tài)加密方法��。該方法按照以下步驟實施:參數生成���,陷門生成,密鑰生成�����,加密�,解密,同態(tài)操作�����。傳統(tǒng)的公鑰加密方法在量子計算機環(huán)境下其安全性受到威脅,本發(fā)明基于格上求解最短向量困難問題�,可以抵抗量子計算機的攻擊。該方法直接使用用戶身份作為公鑰���,可以對密文信息進行同態(tài)操作��。
【專利說明】
利用隱秘矩陣構造的基于身份的全同態(tài)加密方法
技術領域
[0001] 本發(fā)明涉及信息安全技術領域�����,尤其涉及一種基于身份的全同態(tài)加密方法���。
【背景技術】
[0002] 二十一世紀是信息科技高速發(fā)展的時代����,量子計算機的誕生與應用只是時間的問 題。在量子計算機的威脅下��,RSA�、ElGamal以及ECC等傳統(tǒng)公鑰加密方案將不再安全。世界范 圍的密碼學家開始研究后量子密碼����,用以抵抗未來量子計算機的攻擊���。本發(fā)明以格困難問 題為基礎,具有抵抗量子計算機攻擊的能力���,主要涉及兩大密碼體制:
[0002] 基于身份的加密(IBE):為了簡化公鑰證書的管理�����,Shamir創(chuàng)造性地提出了基于身 份的加密概念����。在這種公鑰加密機制中���,用戶的身份信息(如身份證號碼����、電話號碼和郵件 地址等)直接作為用戶的公鑰���。用戶的身份與用戶之間有著直接而天然的聯系��,因此無需通 過數字證書進行綁定��,從而避免了傳統(tǒng)公鑰密碼體制中因管理大量用戶證書而帶來的種種 弊端�����。
[0003] 層次型全同態(tài)加密(Leveled-FHE):-個全同態(tài)加密方案����,其中密鑰生成算法獲得 一個額外的輸入I 1,對于所有深度為L的二進制算法函數都是同態(tài)的�����,且密鑰長度和L無關�, 則稱該全同態(tài)加密方案是層次型的全同態(tài)加密方案。
[0004] 全同態(tài)加密(FHE):同態(tài)加密最早由Rivest等人于1978年提出��,指的是這樣一種加 密方法:對明文進行環(huán)上的加法和乘法運算再加密��,與加密后對密文進行相應的運算��,結果 是等價的�����。由于這個良好的性質�����,人們可以委托不信任的第三方對數據進行處理��,而不泄露 信息���。全同態(tài)加密指同時滿足加法同態(tài)和乘法同態(tài)性質�����,并且能夠進行任意次運算的加密 方法��。用數學表達:Dec(f(En(mi)�,En(m2)�����,…����,En(mk))) = f(mi,m2,…��,mk)����,其中Dec()為解 密函數��,En()為加密函數�,f〇為我們需要做的運算��。
[0005] 本發(fā)明所涉及的主要理論基礎有如下幾點:
[0006] 格上最短向量困難問題(Gap-SVP):給定格L�,找到一個非零格向量v,滿足對任意 非零向量 ueL, ||v||<||u||�����。
[0007] SIS問題最早由Ajtai提出�,Ajtai證明了任意η維格的近似因子為γ的SIVP問題和 Gap-SVP問題可以多項式時間歸約到SI S問題。
[0008] SIS問題:給定m個一致的隨機向量% ��,將ai按列排列組成JeZf%尋找一個 非零向量Zez m���,滿足| |z| 吏得:
[0009] SIS問題的困難性保證了多項式時間內敵手不能求解問題Ax = u的一組小解�����,為私 鑰的保密提供了安全性���,許多加密方案利用此問題構造公鑰��。
[0010] 1^問題:令111,11���,9是整數�����,乂是21?上的概率分布�����。輸入一對(六�����,¥)�����,¥=六8+6�����。其中 AeE廠是隨機選取的�����,均勻隨機選取在Xml選取一個向量問題分為 Search-LWE問題和Dec i s ion-LWE問題���,其中Search-LWE問題是給出LWE分布�����,求解秘密向量 s的值;Dec i s ion-LWE問題是區(qū)分LWE分布和隨機分布�。兩個問題都是困難問題���。
[0011] 亞高斯分布:如果一個隨機變量X對任意t》0,有Pr[ |X|》t]<2exp(-3Tt2/s2)�,稱 該變量滿足參數為s的亞高斯分布��。
[0012]擴展到向量中��,如果對Rn中的所有單位矢量u�,〈x,u>滿足參數為s亞高斯分布���,那 么稱向量X滿足參數為s的亞高斯分布��,而一些均滿足參數為s的次高斯分布的向量的串聯 也滿足參數為s的亞高斯分布��。
[0013] 密碼學可證明安全不可區(qū)分性實驗:在一個不可區(qū)分性實驗中(IND GAME)����,參與 者有挑戰(zhàn)者設計的加密方案(Gen()�,Enc(),Dec())和敵手A�����。
[0014] 實驗步驟如下:
[0015] 給定輸入給敵手A�����,A輸出一對消息_和mi����。
[0016] 運行Gen〇生成一個密鑰k,隨機選擇一個比特b-(0�����,1)<^此仏���,1^)加密后輸出密 文c給A����。把c叫做挑戰(zhàn)密文(或者目標明文)。
[0017] A輸出一個比特b��。
[0018] 該實驗的輸出被定義為:如果b = b����,則為1,成功�,否則為0,失敗��。
[0019] 選擇明文攻擊(IND-CPA):在選擇明文攻擊中���,敵手A被允許適應性的選擇多個明 文消息來請求加密�����。我們把這個形式化為:允許A和"加密預言機"自由交互����,加密預言機被 視為一個黑盒子�����,將使用某個密鑰k來加密A選擇的消息。
[0020] Gadget單向陷門函數:陷門構造的主要思想是希望通過一個奇偶校驗矩陣A來"隱 藏" 一個附屬矩陣G��,然后利用陷門T找到這個附屬矩陣GX的構造如下:
[0021] 首先定義小系數向量g = 2,4,...,2^^, /二flogjl����,那么
[0022]
[0023]陷門:一個奇偶校驗矩陣isZf"的陷門是一個小參數矩陣TeZ^i����,滿足AT = SGmodq,其中S是一個可逆矩陣�����,我們稱為陷門T的一個標志矩陣����。陷門的質量由它的最小奇 異值si(R): =max| |u| |=ι | |Ru| |決定,si(R)越小��,陷門質量越高����。Peikert等人給出了這種陷 門構造方法安全性的證明:在m~2nlogq時,矩陣A滿足的分布與隨機分布不可區(qū)分��。
[0024] 基于身份的全同態(tài)加密(IBFHE)轉換法則:一個IBE方案若滿足
[0025] 1)解密密鑰與密文為中的向量,^中的第一個系數應該是1��。
[0026] 2)0的密文4(0)與密鑰的內積〈(���;(0),又J非常"小"�����。
[0027] 3)0元素的加密與其他元素的加密不可區(qū)分���。
[0028]則該IBE方案可以轉換為層次型的FHE方案。
【發(fā)明內容】
[0029]針對傳統(tǒng)全同態(tài)加密方法生成密鑰巨大的問題�,本發(fā)明通過將IBE與FHE相結合, 利用IBE方案直接使用用戶ID作為公鑰的特性�����,再配合隱秘矩陣生成的陷門構造一種基于 身份的全同態(tài)加密方法����。其特征是利用SIS問題的困難性通過單向陷門函數轉換用戶ID為 用戶私鑰并結合全同態(tài)加密技術。
[0030]為達到上述目的��,本發(fā)明采用如下加密方案:
[0031 ]參數生成算法&叫:輸入安全參數λ和用戶身份ID��,生成 所需的公共參數2、隱秘矩陣S^SdP陷門標志矩陣S�����,再選取一個輸出至少160位的哈希函 數����,轉換用戶ID到一個固定長度的向量。
[0032]陷門生成算法:將啟動算法中生成的隨機矩陣和秘密 隱秘矩陣輸入給陷門函數���,陷門生成函數輸出主密鑰(陷門T)mk和參數P。
[0033] 解密密鑰生成算法1^6611(?���,叫(1����,1111〇4(咖4 (1):利用陷門1'(1111〇求解315格困難 問題:P · Xid = Uid�,得到Xid的一個解,再利用Xid構造私鑰Sid�����。
[0034]加密算法Enc(P��,uid,y)4C:輸入需要加密的明文消息和參數P以及用戶身份u id��, 生成一個隨機矩陣���,輸出密文C��。
[0035]解密函數:輸入用戶私鑰和需要解密的密文信息�,輸出明文V ; [0036]以上方案加密時�����,利用LWE問題隱藏用戶私鑰和明文信息�����,其困難性可規(guī)約到格上 最短向量困難問題�����,具有抵抗量子計算機攻擊的能力��?�?勺C明安全性中����,該方案可以抵抗選 擇明文攻擊��。
[0037] 在以上IBE方案的基礎上�����,我們將IBE方案轉換到IBFHE方案�,對加密算法和解密算 法進行如下修改:
[0038] 加密算法18^^上1^(?����,出<^)4(::輸入公共參數矩陣?�����、用戶身份向量1^與需要 加密的明文消息μ���,隨機生成矩陣B和向量b,運算后輸出密文C;
[0039] 解密算法IBFHE. Dec (sid��,C) -μ':輸入用戶私鑰sid和需要解密的密文消息C�����,輸出 明文μ';
[0040] 加法同態(tài)操作IBFHE.HomAdcK&O:同態(tài)加密定義為矩陣加法。
[0041 ] 乘法同態(tài)操作IBFHE. HomMult(&��,C2):同態(tài)乘法類似于矩陣乘法����。
[0042] 本發(fā)明具有以下優(yōu)點和積極效果:
[0043] 1)本發(fā)明是一種安全性很高的加密方案。其安全性可規(guī)約到格上求解最短向量困 難問題�;
[0044] 2)本發(fā)明是一種直接利用用戶ID作為公鑰的方案,不需要為用戶生成和分配公 鑰��,節(jié)省了時間和空間成本����;
[0045] 3)本發(fā)明是一種可以對密文進行同態(tài)操作的加密方案,對于有限層運算電路F�,任 意明文輸入mi,m2,. . .���,mi��,與對應的密文ci����,C2,. . .,ci之間滿足關系:
[0046] Pr[Dec(F(ci�����,C2, · · ·���,ci))=F(mi�����,m2, · · ·���,mi)] = l_negl(A),其中negl(A)代表概 率為〇;
【附圖說明】
[0047] 圖1是利用隱秘矩陣構造的基于身份的全同態(tài)加密方法加密流程圖
【具體實施方式】
[0048] 使用小寫字母表示向量�����,所有的向量默認為列向量�,如a���,向量a的轉置(行向量)表 示為aS向量a的第i個元素表示為ai�。矩陣使用大寫字母表示��,如M nXm,矩陣的第i列表示為 M,��,矩陣A的轉置表示為Ατ�。"表示η維模q的整數環(huán)。
[0049] 本發(fā)明所設計的算法流程具體如下��,首先構造一個格上的基于身份的加密方案 LIBE:
[0050] 參數生成算法L/從.仍)-01心51:^��,/4/):隨機生成矩陣2 £2^�����,秘密可 逆矩陣5����; βΖΠ 2 βΖΓ"、陷門標志矩陣以·^?�,將代表用戶身份的ID利用哈希函數轉換 至個定長度的有限環(huán)上k辦仍);
[0051 ] 陷門生成算法->(Α?次):輸出主密鑰(陷門T )
和參數
這里有Ρ · mk = SG;
[0052] 密鑰生成算法LIBE.KeyGen(P,mk�,Uid)4sid:利用陷門T(即mk)求解SIS格困難問 題:P · xid = Uid。具體步驟如下:令xid=mk · ω�,則有
[0053]
^ ΛπΙ - "uv ^ \uhl
[0054] 這里的0-1不是G的逆矩陣,而是一個映射cr1:^-zr/zflogdl��,對于Gx = u的 一個目標u滿足G-1 (u) = X����。私鑰~=(?, 1) e <+1;
[0055] 加密算法LIBE. Enc (Ρ���,uid,y)-C:選取隨機矩陣及e 2����;'輸出密文
[0056]
[0057] 其中/ = ,從效率上考慮����,密文可以以向量的形式輸出,但為了與下面的 全同態(tài)加密方案交接����,這里使用矩陣的形式輸出密文。
[0058] 解密算法LIBE.Decbid')^/ :輸出明文V =(C · sid)/i;
[0059] 在LIBE方案的基礎上��,我們構造全同態(tài)加密方案IBFHE��,參數生成�����、陷門生成與秘 鑰生成算法與LIBE對應算法相同��,加密算法����、解密算法及同態(tài)操作算法具體如下:
[0060] 加密算法18^^』11(^,叫(1』):選取隨機矩陣3€<>!<"' +1)/和滿足亞高斯分布的誤 差矩陣EexmX(m + U1�����,誤差向量eex(m + U1�,計算矩陣B = Pτ·A + E(modq)和向量 K = /UhkkU/),輸出密文:
[0061]
[0062] 解密算法I B F Η E . D e c ( s i d�����,C ):取出密文C的倒數第二列c��,計算 2: '(mode/);
[0063] 加法同態(tài)操作IBFHE.HomAdd(Ci���,C2):同態(tài)加密定義為C = Ci+C2(modq);
[0064] 乘法同態(tài)操作四^^.!1〇11111^(&�����,(:2):同態(tài)乘法定義為〇 = (:1.6-1((:2)(111〇(^); [0065] 安全性上��,該加密方案構造于LWE問題之上�����,其可證明安全性可規(guī)約到格上 Decision-LWE問題��。在不可區(qū)分性試驗中�����,我們假設攻擊手可以訪問加密預言機����,那么攻擊 手分別向加密預言機發(fā)送0和1,得到0和1的密文分別為:
[0066:
[0067] 因矩陣PTAi+Ei��,i = {0����,1}和向量e丨-=從1)滿足LWE分布,故密文不可 區(qū)分���,進而0和1的密文不可區(qū)分�,攻擊手的優(yōu)勢Pr[b = b']-l/2=l/2-l/2 = 0,該加密方案 具有選擇明文攻擊(IND-CPA)安全性����。
[0068] 效率上����,本方案的密文空間廣���,私鑰空間為Zf,公鑰為用戶唯一身份標識 不需要單獨生成�,其中m = 2nl,/二「k>g2g"j.��。
[0069]若取n = 198����,q = 8096作為方案參數,則方案生成的私鑰大小約為8Kb����。
[0070] 加密過程中,涉及矩陣運算��,所需乘法次數為m(m+l) · 1次���,取上述參數約為3.4X 108 次��。
[0071] 解密過程中�����,只需要提取密文的一列進行內積運算��,因此所占空間為Ζ^1+ιμ�����,乘法 次數為ml次����,取上述參數約為6.7 X 105次。
[0072] 安全性上����,該方案具備選擇明文攻擊安全性(IND-CPA Security)。
【主權項】
1.利用隱秘矩陣構造的基于身份的全同態(tài)加密方法�����,其特征在于利用可逆矩陣構造了 安全高效的陷門函數�,為私鑰生成提供了安全保障。由隱秘矩陣構成的陷門矩陣在與普通 陷門矩陣維數相同的情況下���,安全性提升了一倍�����,因此可以降低矩陣維數����,提升效率而不影 響安全性���。利用隱秘矩陣構造的基于身份的全同態(tài)加密方法包括以下步驟: 首先構造如下基于身份的加密方案LIBE: 參數生成算法/D) 4 (5, S1, S2��,):隨機生成矩陣2 e Zf���,隱秘可逆矩 陣S1 eZ廣W2 、陷門標志矩陣S ef��,將代表用戶身份的ID利用哈希函數轉換到固 定長度的有限環(huán)上hM10) 陷門生成算法L/MTiX;⑶輸出主密鑰(陷門T )這里有P · mk = SG�; 密鑰生成算法LIBE.KeyGen(ID ,mlmd - sid:利用陷門T(即mk)求解SIS格困難問題: P · Xid = Uid。具體步驟如下:令Xid=mk · ω���,則有其中G-1 : Ζ: 4?〗"�����,/ =「log2 d _����,對于.仏t= &的一個目標u滿足G -1 ( u ) = X。私鑰 加密算法LIBE.EnC(P����,ID,μ)4C:選取隨機矩陣i^eZf�����,輸出密文其中/ = ���,從效率上考慮�����,密文可以以向量的形式輸出���,但為了與下面的全同 態(tài)加密方案交接,這里使用矩陣的形式輸出密文��; 解密算法LIBE-Dec(SAC)^/ :輸出明文μ' =(C · sid)/i; 在此基礎上����,將基于身份的加密方案轉換為全同態(tài)加密方案����,其過程如下: 參數生成����、陷門生成與秘鑰生成算法與LIBE對應算法相同,加密算法���、解密算法及同態(tài) 操作算法具體如下: 加密算法18?冊』11(^���,山(1#):選取隨機矩陣』&$_+:1)/和滿足亞高斯分布的誤差矩 陣EexmX(m + U1�����,誤差向量eex(m + U1����,計算矩陣B = Pt · A + E(modq)和向量 // = c,' - i����,;:,. j(modi/),輸出密文:解密算法IBFHE.DeC(Sid,C):取出密文C的倒數第二列c,計算= ·ι·2ρ_ ''(motky): 加法同態(tài)操作11^冊.!1〇滅(1(1(&�,〇2):同態(tài)加法定義為[=&+〇2(111〇(^); 乘法同態(tài)操作IBFHE^HomMult(CiC2):同態(tài)乘法定義為C=C1 · G-H&Kmodq)。2.根據權利要求1所屬的基于身份的全同態(tài)加密方法�����,其特征在于: 陷門生成函數中�����,隨機生成隱秘矩陣SllS2,構造出形式的陷門矩陣 與對應的公共參數矩陣,m=n + ul
【文檔編號】H04L9/08GK105933102SQ201610209200
【公開日】2016年9月7日
【申請日】2016年4月6日
【發(fā)明人】張單琦, 蔡斌, 胡勝健, 傅海軍, 桑軍, 向宏
【申請人】重慶大學