14、《“埃舍尔世界中的麦利耶斯”方案的漏洞解析》

《“埃舍尔世界中的麦利耶斯”方案的漏洞解析》

1. 加密与签名中的公钥选择

在加密过程中，公钥生成矩阵 (G_{pub}) 的选取需保证私钥能够对正确构造的密文进行唯一解码。而在签名时，(G_{pub}) 的构造要允许对随机选取的消息摘要进行一定程度的解码（不一定唯一）。

为了更好地描述公钥和私钥，我们可以借助奇偶校验矩阵。私钥奇偶校验矩阵 (H) 是一个 ((n - k)×n) 的矩阵，它与私钥生成矩阵 (G) 满足关系 (G H^T = 0)。同样，由 (G_{pub}) 也能轻松构造出公钥奇偶校验矩阵 (H_{pub})，其满足 (G_{pub} H_{pub}^T = 0)，并且 (H_{pub}) 与 (H) 的关系为 (H_{pub} = S’ H P)，其中 (S’) 是一个 ((n - k)×(n - k)) 的可逆矩阵，(P) 是一个置换矩阵。

2. 私钥生成矩阵与奇偶校验矩阵

在麦利耶斯 - 埃舍尔（McEliece Escher）方案中，用于构造二进制 ((n, k)) 码的私钥生成矩阵具有特定形式。每个块 (B_i) 是一个维度为 ((\sum_{j = 1}^{i} k_j)×n_i) 的随机二进制矩阵，使得 (k = k_1 + k_2 + \cdots + k_w) 且 (n = k + n_1 + n_2 + \cdots + n_w)。对应的私钥奇偶校验矩阵具有类似的分块结构。为了方便表示，我们设 (K = (k_1, k_2, \cdots, k_w)) 和 (N = (n_1, n_2, \cdots, n_w))。

3. 错误集

在麦利耶斯 - 埃舍尔方案中，错误向量被分割