28、高效 ZHFE 密钥生成方法解析

最新推荐文章于 2025-10-20 11:55:52 发布

bread

最新推荐文章于 2025-10-20 11:55:52 发布

阅读量48

点赞数

CC 4.0 BY-SA版权

分类专栏：探索后量子密码学的前沿文章标签： ZHFE密钥生成高效算法系统方程

本文链接：https://blog.youkuaiyun.com/bread/article/details/149737531

探索后量子密码学的前沿专栏收录该内容

31 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

高效 ZHFE 密钥生成方法解析

1. 系统方程分析

在相关系统中，方程的变量与集合 (A_{k}) 相关。当 (r = 2) 时，(A_{r - 1} = A_{1})，且 ((0, 1)) 是 (A_{1}) 中唯一形如 ((i, 1)) 的元素，此时系统中没有方程包含与 (A_{r - 1}) 和 (A_{r - 2}) 相关的变量；而当 (r > 2) 时，系统 (S) 中只有一个方程包含与 (A_{r - 1}) 和 (A_{r - 2}) 相关的变量，即 ((0, n - (r - 1) + 1, 1)) 方程。

若 (r \leq k < \frac{n}{2})，则 (\frac{n}{2} \leq n - k < n - k + 1 \leq n - 1)。此时，((1, 0, k)) 和 ((0, n - k + 1, 1)) 方程是系统 (S) 中仅有的包含与 (A_{k}) 和 (A_{k - 1}) 相关变量的方程；((0, 1, k + 1)) 和 ((1, n - k, 0)) 方程同样是系统 (S) 中仅有的包含与 (A_{k}) 和 (A_{k - 1}) 相关变量的方程。所有形如 ((s, i, j)) 且 ((i, j) \in A_{k}) 的方程都在系统 (S) 中，且它们仅包含与 (A_{k}) 相关的变量。

当 (k = \frac{n}{2}) 时，((1, 0, \frac{n}{2})) 和 ((0, 1, \frac{n}{2} + 1)) 方程是仅有的包含与 (A_{\frac{n}{2} - 1}) 和 (A_{\frac{n}{2}}) 相关变量的方程。并且，(s \in {0, 1}) 且 ((i, j) \in A_{\frac{n}{2}}) 的 ((s, i, j)) 方程是系统 (S) 中仅有的包含与 (A_{\frac{n}{2}}) 相关变量的方程。

基于上述分析，我们可以对与消失方程系统 (S) 相关的矩阵的行进行重新组织，使其具有所需的结构。

表 1 展示了在 (q = 7) 和 (n = 56) 时，(D) 的可能取值情况：
| (r) | 无限制时 (D) 的取值范围 | 有限制时 (D) 的取值范围 |
| — | — | — |
| 2 | (7 < D \leq 49) | (21 < D \leq 49) |
| 3 | (49 < D \leq 343) | (105 < D \leq 343) |
| 4 | (343 < D \leq 2401) | (693 < D \leq 2401) |

2. 小域上的矩阵

我们的目标是确定系数 (Z_{k})，使得多项式 (\Psi) 的次数小于 (D)。最初，每个系数 (Z_{k}) 都被视为一个变量。这样，(\Psi) 中形如 (\alpha_{ns + \ell + 1}Z_{k}^{q^{\ell}}) 的每一项都可以看作是从大域 (K) 到 (K) 的 (F) - 线性变换。由于大域 (K) 是小域 (F) 上的向量空间，任何 (F) - 线性变换 (K \to K) 都可以看作是 (F^{n} \to F^{n}) 的 (F) - 线性变换。设 (A_{ns + \ell}) 是 (F) 上的矩阵，它表示关于标准基的 (F) - 线性变换 (Z \to \alpha_{ns + \ell + 1}Z^{q^{\ell}})。

对于 (k \neq \frac{n}{2}) 且 ((i, j) \in A_{k})，(\Psi_{s}) 中 (X^{q^{s} + q^{i} + q^{j}}) 的系数为：
[
\sum_{\ell = 0}^{n - 1} \alpha_{ns + \ell + 1}Z_{2nk + (i \ominus \ell)}^{q^{\ell}} + \sum_{\ell = 0}^{n - 1} \beta_{ns + \ell + 1}Z_{2nk + n + (i \ominus \ell)}^{q^{\ell}}
]
我们可以将上述表达式看作是 (F) - 线性变换 (T_{s, i}^{k} : K^{2n} \to K)，其第 ((ns + i)) 个变量是 (Z_{2nk + ns + i})，其中 (s \in {0, 1}) 且 (i = 0, \cdots, n - 1)。表示 (T_{s, i}^{k}) 的矩阵为 ([A|B])，其中：
[
A = [A_{ns + i} \ A_{ns + i - 1} \ \cdots \ A_{ns} \ A_{ns + n - 1} \ \cdots \ A_{ns + (i + 1)}]
]
[
B = [B_{ns + i} \ B_{ns + i - 1} \ \cdots \ B_{ns} \ B_{ns + n - 1} \ \cdots \ B_{ns + (i + 1)}]
]
这里 (A_{ns + \ell}) 和 (B_{ns + \ell}) 分别是表示 (F) - 线性变换 (\alpha_{ns + \ell + 1}Z^{q^{\ell}}) 和 (\beta_{ns + \ell + 1}Z^{q^{\ell}}) 的矩阵。

表示 (F) - 线性变换 (T_{k} : K^{2n} \to K^{2n})（定义为 (T_{k} = (T_{0, 0}^{k}, \cdots, T_{0, n - 1}^{k}, T_{1, 0}^{k}, \cdots, T_{1, n - 1}^{k}))）的矩阵如图 2 所示。

类似地，对于 ((i, j) \in A_{\frac{n}{2}})，我们可以定义 (F) - 线性变换 (T_{\frac{n}{2}}^{s, i} : K^{n} \to K)，表示 (T_{\frac{n}{2}}^{s, i}) 的矩阵为 ([A|B])，其中：
[
A = [A_{ns + i} + A_{ns + \frac{n}{2} + i} \ \cdots \ A_{ns} + A_{ns + \frac{n}{2}} \ A_{ns + n - 1} + A_{ns + \frac{n}{2} - 1} \ \cdots \ A_{ns + (i + 1)} + A_{ns + \frac{n}{2} + (i + 1)}]
]
[
B = [B_{ns + i} + B_{ns + \frac{n}{2} + i} \ \cdots \ B_{ns} + B_{ns + \frac{n}{2}} \ B_{ns + n - 1} + B_{ns + \frac{n}{2} - 1} \ \cdots \ B_{ns + (i + 1)} + B_{ns + \frac{n}{2} + (i + 1)}]
]

表示 (F) - 线性变换 (T_{\frac{n}{2}} = (T_{\frac{n}{2}}^{0, 1}, \cdots, T_{\frac{n}{2}}^{0, \frac{n}{2} - 1}, T_{\frac{n}{2}}^{1, 0}, \cdots, T_{\frac{n}{2}}^{1, \frac{n}{2} - 1})) 的矩阵如图 3 所示。

齐次系统 (S) 包含所有满足 (q^{s} + q^{i} + q^{j} \geq D) 的 ((s, i, j)) 方程，其中 (s \in {0, 1}) 且 ((i, j) \in A)。定理 1 解释了与 (S) 相关的矩阵的隐藏结构。现在我们按照定理 1 给出的顺序考虑 (S)，使得 (S) 中的第 (i) 个方程可以看作是 (L_{i}(Z_{0}, \cdots, Z_{N}) = 0)，其中 (L_{i}) 是从 (K^{N}) 到 (K) 的 (F) - 线性变换，(N) 是多项式 (F) 变量数量的两倍。这样，(S) 可以看作是 (L(Z_{1}, \cdots, Z_{N}) = 0)，其中 (L = (L_{1}, \cdots, L_{t}))，(t) 是系统 (S) 中方程的数量。

定理 2 指出，设 (n)、(q) 和 (D) 为正整数，满足 (q > 2)，(1 < r = \lceil \log_{q} D \rceil < \frac{n}{2}) 且 (q + 2q^{r - 1} < D \leq q^{r - 1})。那么，表示 (F) - 线性变换 (L) 的矩阵 (\tilde{M}) 由 (\frac{n}{2} + 1) 个子矩阵 (\tilde{M} {0}, \cdots, \tilde{M} {\frac{n}{2}}) 组成，它们的排列方式与图 1 中的矩阵相同。对于 (0 \leq i \leq \frac{n}{2})，子矩阵 (\tilde{M}_{i}) 的大小为 (a \times b)，其中：
[
a =
\begin{cases}
2n(n - r - i) & \text{如果 } i < r \
2n^{2} & \text{如果 } r \leq i < \frac{n}{2} \
n^{2} & \text{如果 } i = \frac{n}{2}
\end{cases}
]
[
b =
\begin{cases}
2n^{2} & \text{如果 } i \neq r \
n^{2} & \text{如果 } i = \frac{n}{2}
\end{cases}
]

注 2 表明，子矩阵 (\tilde{M} {i}) 和 (\tilde{M} {i + 1}) 在一个 (pn) 行的块上重叠，当且仅当块 (M_{i}) 和 (M_{i + 1}) 在 (p) 行上重叠。

注 3 指出，子矩阵 (\tilde{M} {0}, \cdots, \tilde{M} {\frac{n}{2}}) 是图 2 中矩阵的小修改。具体来说，对于 (r \leq k < \frac{n}{2})，(\tilde{M} {k}) 可以通过对图 2 中矩阵的行进行置换得到，将来自系统 (S) 中包含与 (A {k}) 和 (A_{k - 1}) 相关变量的方程的行放在上部。对于 (0 \leq k \leq r - 1)，(\tilde{M} {k}) 可以通过移除表示 ((i, j) \in A {k}) 且 (i < r) 和 (j < r) 的表达式的行块，并如上述那样适当地置换行得到。

根据定理 2 以及上述子矩阵的描述，我们可以得到一个直接且快速的算法来构造矩阵 (\tilde{M})：
1. 给定 (\alpha_{i}) 和 (\beta_{i})，构造表示 (F) - 线性变换 (Z \to \alpha_{ns + \ell + 1}Z^{q^{\ell}}) 和 (Z \to \beta_{ns + \ell + 1}Z^{q^{\ell}}) 的矩阵 (A_{ns + \ell}) 和 (B_{ns + \ell})。
2. 为所有的 (k) 组装图 2 和图 3 中的矩阵，并根据注 3 对它们的行进行排序。
3. 按照定理 2 的描述将它们组合在一起。

然而，我们实际上并不需要构造整个矩阵 (\tilde{M})，因为我们的目标只是找到其零空间中的一个非平凡元素，我们可以利用其结构更高效地实现这一目标。

3. 求解系统的算法

我们首先描述一个用于在矩阵 (\tilde{M}) 的零空间中寻找随机元素的算法，该算法基于定理 2 揭示的矩阵隐藏结构。然后，我们将讨论该算法终止的概率。

矩阵 (\tilde{M}) 几乎是块对角的，其块 (\tilde{M} {1}, \cdots, \tilde{M} {\frac{n}{2}}) 在少数行上重叠。为了说明该方法，假设我们只有两个块 (\tilde{M} {1}) 和 (\tilde{M} {2})。我们首先将每个块拆分为两个块 (U_{i}) 和 (L_{i})，使得矩阵具有以下形式：
[
\tilde{M} =
\begin{bmatrix}
U_{1} & 0 \
L_{1} & U_{2} \
0 & L_{2}
\end{bmatrix}
]
接下来，我们在 (L_{2}) 的零空间中找到一个元素 (y_{2})，然后计算 (r = U_{2}y_{2})。接着，我们找到一个元素 (y_{1})，使得 (\begin{bmatrix} U_{1} \ L_{1} \end{bmatrix} y_{1} = \begin{bmatrix} 0 \ -r \end{bmatrix})。显然，(\tilde{M} \begin{bmatrix} y_{1} \ y_{2} \end{bmatrix} = 0)。这个过程可以在整个矩阵上迭代，无论块的数量如何。

为了正式描述该算法，我们引入以下符号。对于 (r \leq i \leq \frac{n}{2})，设 (L_{i}) 是从 (\tilde{M} {i}) 中移除前 (2n) 行得到的矩阵；对于 (2 \leq i < r)，设 (L {i}) 是从 (\tilde{M} {i}) 中移除前 (n) 行得到的矩阵。对于每个 (2 \leq i \leq \frac{n}{2})，(U {i}) 是使得 (\tilde{M} {i} = \begin{bmatrix} U {i} \ L_{i} \end{bmatrix}) 的矩阵（对于 (i = 1)，定义 (U_{1} = \tilde{M}_{1})）。表达式 (y \overset{\$}{\leftarrow} W) 表示 (y) 是从集合 (W) 中均匀随机选择的元素。算法 1 描述了一个求解方程 (\tilde{M}y = 0) 的算法：

算法 1. 找到矩阵 \(\tilde{M}\) 零空间中的一个元素
输入: \(\tilde{M}_{0}, \tilde{M}_{1}, \cdots, \tilde{M}_{\frac{n}{2}}\)，如定理 2 所述的 \(\tilde{M}\) 的块
1: \(W := \{ z | L_{\frac{n}{2}} z = 0 \}\)
2: for \(i = \frac{n}{2}, \cdots, 1\) do
3:     \(y_{i} \overset{\$}{\leftarrow} W\)
4:     \(r_{i} := U_{i}y_{i}\)
5:     \(W := \{ z | L_{i}z = \begin{bmatrix} 0 \\ -r_{i} \end{bmatrix} \}\)
6:     if \(W = \varnothing\) then
7:         停止算法
8: \(W := \{ z | \tilde{M}_{0}z = 0 \}\)
9: \(y_{0} \overset{\$}{\leftarrow} W\)
10: return \(y = [y_{0}, y_{1}, \cdots, y_{\frac{n}{2}}]^{T}\)

容易看出，如果该算法终止，输出 (y) 是矩阵 (\tilde{M}) 零空间中的一个元素，反之亦然。命题 3 表明，如果 (x) 是矩阵 (\tilde{M}) 零空间中的一个向量，那么 (x) 可以是算法 1 的输出。这意味着矩阵 (\tilde{M}) 零空间中的每个元素都可以由算法 1 输出，并且零空间中的元素仍然是均匀分布的，因为算法 1 通过找到元素 (x) 的投影 (x_{i}) 来获得每个元素 (x)，而这个过程是均匀进行的。

算法 1 并不总是终止，如果它失败，我们需要再次运行它。然而，我们声称失败的概率非常小。算法 1 的终止取决于对于每个 (i = \frac{n}{2}, \cdots, 1)，集合 (W) 不为空。因此，保证算法 1 终止的一个充分条件是每个矩阵 (L_{i}) 具有满秩。对于 ZHFE 的均匀随机实例，算法 1 终止的概率大于对于每个 (i)，矩阵 (L_{i}) 的秩等于其行数的概率。为了估计这个概率，我们对不同的 (n) 值进行了广泛的实验，并计算了 (i = r, \cdots, \frac{n}{2}) 时 (L_{i}) 的秩，结果如表 2 所示：
| (n) | 实例数量 |
| — | — |
| 8 | 80000000 |
| 16 | 4000000 |
| 32 | 100000 |
| 56 | 5000 |

对于每个生成的实例以及每个 (i = r, \cdots, \frac{n}{2})，矩阵 (L_{i}) 都具有满秩。

4. 新方法的复杂度

新方法用于求解消失方程系统，它在一个几乎块对角的矩阵（有 (\frac{n}{2} + 1) 个块，如图 1 所示）的零空间中寻找一个元素。每个块的大小至多为 (2n^{2} \times 2n^{2})，因此将每个块化为行阶梯形的复杂度为 (O((n^{2})^{\omega}))，其中参数 (2 \leq \omega \leq 3) 是一个取决于具体高斯消元算法的常数（例如，经典高斯消元算法中 (\omega = 3)，渐近改进算法中 (\omega < 2.376)）。因此，新方法的复杂度为 (O(n(n^{2})^{\omega}) = O(n^{2\omega + 1}))。这改进了之前使用的朴素方法，如果使用密集高斯消元算法，朴素方法的复杂度为 (O((n^{3})^{\omega}) = O(n^{3\omega}))。

由于消失方程系统的矩阵是稀疏的，旧方法也可以利用其稀疏性。虽然稀疏算法的复杂度更难比较，但我们的实验证实，新方法相对于稀疏方法也有显著的改进。

我们进行了实验，比较了新方法和旧方法求解消失方程系统的性能。我们使用两种方法构建了不同的 ZHFE 私钥，表 3 展示了不同参数集下的实验结果：
| 方法 | (q) | (D) | (n) | CPU 时间 [s] | 内存 [MB] | (n) | CPU 时间 [s] | 内存 [MB] |
| — | — | — | — | — | — | — | — | — |
| 新方法 | 7 | 106 | 8 | 0.07 | (\leq 32) | 8 | 0.43 | (\leq 32) |
| | 7 | 106 | 16 | 1.46 | (\leq 32) | 16 | 25.41 | 131 |
| | 7 | 106 | 32 | 67.29 | 64 | 32 | 2285.44 | 3452 |
| | 7 | 106 | 56 | 1111.26 | 235 | 55a | 216076.27 | 53619 |
| | 17 | 106 | 8 | 0.08 | (\leq 32) | 8 | 0.45 | (\leq 32) |
| | 17 | 106 | 16 | 2.02 | 68 | 16 | 26.63 | 160 |
| | 17 | 106 | 32 | 122.86 | 93 | 32 | 2095.94 | 3785 |
| | 17 | 595 | 56 | 2712.63 | 353 | 55a | 226384.28 | 59658 |

注：a 实验在不同的机器上运行：Magma V2.20 - 2 在配备四个 Quad - Core AMD OpteronTM Processor 8356 CPU（运行频率为 2.3 GHz）的 Sun X4440 服务器上进行。

从表 3 可以看出，构建 ZHFE 密钥所需的时间显著减少，并且新方法构建 ZHFE 密钥所需的内存也比旧方法少得多。

5. 安全性说明

虽然对 ZHFE 安全性的更严格研究超出了本文的范围，但所提出的密钥生成改进并不影响这方面。矩阵 (\tilde{M}) 只是原始构建 ZHFE 私钥时使用的稀疏矩阵的重新排列。此外，命题 3 保证了新算法不会错过系统的任何解，并且如第 3 节所述，解是在相同的均匀分布下选择的。矩阵 (\tilde{M}) 大约有 (n^{2}) 个自由变量，因此其零空间的大小约为 (q^{n^{2}})，对于实际的参数值来说，这个数字非常大。因此，原则上，矩阵 (\tilde{M}) 所揭示的结构对 ZHFE 的安全性没有明显威胁。然而，这方面应该更深入地考虑，并且将是未来研究的一部分。

ZHFE 的安全性在之前的研究中已经进行了详细的探讨。最近有新的研究揭示了原始 ZHFE 存在秩弱点。Perlner 和 Smith - Tone 证明，如果我们将 (\Psi(X)) 写成 (\Psi(X) = X(L_{11}F + L_{12} \tilde{F}) + X^{q}(L_{21}F + L_{22} \tilde{F}))，并且 (L_{ij}) 映射具有满秩，那么 ZHFE 的秩不大于 (\lfloor \log_{q} D \rfloor + 2)。他们还认为，如果我们选择 (L_{ij}) 映射具有合理的余秩 (c)，那么 Q - 秩对于 ZHFE 似乎不是一个弱点。他们进一步提出了 ZHFE 的“减”修改版，称为 ZHFE - ，它通过从公钥中移除 (r) 个多项式，在原始 ZHFE 中添加了一个投影。他们为这个新提议推荐了以下参数：
ZHFE - ：((q, n, D, r, c) = (7, 55, 105, 2, 6))
他们声称，使用这些参数，公钥的 Q - 秩约为 12，正则度估计为 9，这意味着至少有 80 位的安全级别。

我们进行了广泛的实验，以观察我们的新密钥生成方法在这些提议的参数下的表现。我们发现，对于参数 ((q, n, D, r, c) = (7, 55, 105, 2, 6))，新方法和旧方法都只产生平凡解 (\Psi(X) = 0)，尽管核是非平凡的。我们还发现，对于这些参数，为了存在非平凡的 (\Psi(X))，余秩 (c) 必须选择在 ({1, 2}) 中。使用不同的 (q) 值，我们意识到对于 ((q, n, D, r) = (3, 55, 105, 2))，为了存在非平凡的 (\Psi(X))，余秩 (c) 必须选择在 ({1, 2, 3}) 中；对于 ((q, n, D, r) = (3, 55, 170, 2))，余秩 (c) 必须选择在 ({1, 2, 3, 4}) 中。在所有这些情况下，新方法和旧方法都能正常工作。为了使用余秩 (c = 6) 的 (L_{ij}) 映射构建 ZHFE 密钥，必须增加参数 (D)。例如，我们发现新方法和旧方法对于 ((q, n, D, r, c) = (3, 56, 1462, 2, 6)) 都能正常工作。表 4 展示了一些参数选择下的实验结果：
| (n) | 实例数量 |
| — | — |
| 16 | 400000 |
| 32 | 5000 |
| 56 | 400 |

根据我们广泛的实验，我们可以说，当考虑具有正余秩的 (L_{ij}) 映射时，我们的新算法在成功率方面与原始方法一样好。

6. 结论

我们提出了一种新颖的方法来求解构建 ZHFE 密钥所需的消失方程系统。通过揭示其几乎块对角的结构，我们在 ZHFE 密钥生成方面实现了一系列改进。我们现在可以更快地构建与系统相关的矩阵，并更高效地存储它。此外，我们可以渐近地更快地找到系统的解。这些改进使 ZHFE 从一个仅停留在理论上的提议，转变为一个可行的后量子公钥加密方案。

为了实现这些改进，我们需要理解 (q) - 汉明重量为 2 的一元多项式的弗罗贝尼乌斯幂的组合结构。我们期望这种理解将作为一种工具，用于探索更大的加密方案家族，即 ZHFE 的推广，其中多项式 (\Psi) 是通过乘以两个以上形式为 (X^{q^{i}}) 的幂得到的。

我们还发现，在考虑具有正余秩的 (L_{ij}) 映射时，我们的新算法在成功率方面与原始方法一样好。

我们预计这项工作将为 ZHFE 带来进一步的改进。由于消失方程系统有几个自由变量，我们可以为陷门函数的所有实例固定一些变量。了解矩阵的结构使我们能够以一种进一步加快密钥生成并减小私钥大小的方式来实现这一点。

我们不能忽视本文的理论结果作为更好理解 ZHFE 安全性的有用工具的作用。

综上所述，本文提出的方法在 ZHFE 密钥生成方面具有显著的优势，不仅提高了效率，还在一定程度上保证了安全性。未来的研究可以进一步探索如何利用矩阵结构的特点，优化密钥生成过程，并深入研究 ZHFE 在各种攻击下的安全性。同时，对于新提出的 ZHFE - 方案，也需要进行更全面的评估和优化。

高效 ZHFE 密钥生成方法解析

6. 结论（续）

我们提出的新方法为 ZHFE 密钥生成带来了显著的变革。通过深入剖析系统方程，我们得以重新组织矩阵结构，使其呈现出几乎块对角的特性。这一特性不仅让矩阵的构建和存储更加高效，还为求解系统方程提供了更优的途径。

在构建矩阵方面，我们依据系统方程中变量与集合 (A_{k}) 的关联，对矩阵行进行合理调整。这种调整使得矩阵的结构更加清晰，便于后续的计算和处理。例如，在不同 (k) 值下，明确了哪些方程包含与特定集合相关的变量，从而能够有针对性地进行矩阵行的组织。

存储效率的提升得益于矩阵结构的优化。几乎块对角的结构减少了不必要的数据冗余，使得矩阵能够以更紧凑的形式存储，节省了大量的存储空间。

求解系统方程的速度提升是新方法的一大亮点。通过定理 2 揭示的矩阵隐藏结构，我们设计了专门的算法来寻找矩阵零空间中的元素。该算法利用矩阵的块结构，将复杂的求解过程分解为多个简单的步骤，大大降低了计算复杂度。

为了实现这些改进，我们对 (q) - 汉明重量为 2 的一元多项式的弗罗贝尼乌斯幂的组合结构进行了深入研究。这种研究不仅为 ZHFE 密钥生成提供了理论支持，还为探索更广泛的加密方案家族奠定了基础。我们期望未来能够基于这种理解，开发出更多基于类似原理的加密方案，为信息安全领域提供更多的选择。

我们还发现，在考虑具有正余秩的 (L_{ij}) 映射时，新算法与原始方法在成功率上表现相当。这表明新算法在不牺牲安全性的前提下，实现了效率的提升。

我们预计这项工作将为 ZHFE 带来更多的优化空间。由于消失方程系统存在多个自由变量，我们可以利用矩阵结构的特点，为陷门函数的所有实例固定一些变量。这样做不仅可以进一步加快密钥生成的速度，还能减小私钥的大小，提高系统的整体性能。

我们不能忽视本文理论结果对理解 ZHFE 安全性的重要作用。虽然目前矩阵 (\tilde{M}) 所揭示的结构对 ZHFE 安全性没有明显威胁，但仍需要进一步深入研究。未来的研究可以从多个角度展开，例如分析不同参数设置下矩阵结构的变化对安全性的影响，以及探索新的攻击方式对 ZHFE 系统的威胁等。

7. 未来展望

密钥生成的进一步优化 ：可以考虑利用矩阵的稀疏性和块结构，设计更高效的算法来固定消失方程系统中的自由变量。例如，通过分析矩阵的零空间和自由变量之间的关系，找到一种最优的变量固定策略，使得密钥生成的速度更快，私钥大小更小。
加密方案的拓展 ：基于对 (q) - 汉明重量为 2 的一元多项式的弗罗贝尼乌斯幂的组合结构的理解，探索更多 ZHFE 的推广方案。可以尝试将多项式 (\Psi) 乘以更多形式为 (X^{q^{i}}) 的幂，构建更复杂的加密方案，并研究其安全性和性能。
安全性的深入研究 ：针对新发现的 ZHFE 秩弱点以及其他可能的攻击方式，进行更全面的研究。可以采用理论分析和实验验证相结合的方法，评估 ZHFE 在各种攻击下的安全性，并提出相应的改进措施。例如，对于 ZHFE - 方案，进一步研究其参数选择对安全性和性能的影响，优化方案的设计。
与其他加密技术的结合 ：考虑将 ZHFE 与其他成熟的加密技术相结合，构建更强大的加密系统。例如，将 ZHFE 与对称加密算法相结合，利用对称加密的高效性和 ZHFE 的后量子安全性，提高整个系统的性能和安全性。

8. 总结

本文围绕 ZHFE 密钥生成展开了深入的研究，提出了一种高效的新方法。通过对系统方程和矩阵结构的分析，我们实现了矩阵构建、存储和求解的优化，提高了密钥生成的效率。同时，实验结果表明新算法在成功率上与原始方法相当，保证了系统的安全性。

未来的研究方向包括进一步优化密钥生成过程、拓展加密方案、深入研究安全性以及与其他加密技术结合等。我们相信，随着研究的不断深入，ZHFE 有望成为后量子时代一种可靠的公钥加密方案，为信息安全提供有力的保障。

为了更直观地展示新方法的优势，我们可以通过以下 mermaid 流程图来总结密钥生成的主要步骤：

graph TD;
    A[分析系统方程] --> B[重新组织矩阵结构];
    B --> C[构建子矩阵];
    C --> D[求解矩阵零空间];
    D --> E[生成密钥];

这个流程图清晰地展示了新方法从系统方程分析到最终密钥生成的整个过程，体现了各个步骤之间的逻辑关系。通过这种方式，我们能够更好地理解新方法的工作原理和优势。

总之，高效的 ZHFE 密钥生成方法为后量子公钥加密领域带来了新的思路和解决方案。我们期待未来能够在这个基础上取得更多的研究成果，推动信息安全技术的不断发展。