超级会员免费看
使用埃尔米特标准型改进基于格的密码系统
1. 引言
近年来,格问题的复杂度研究成果使格问题成为设计密码原语(尤其是加密方案)的潜在候选对象。其中,最著名的两个方案是Ajtai - Dwork密码系统(AD)和Goldreich - Goldwasser - Halevi密码系统(GGH)。此外,Fischlin和Seifert、Cai和Cusick也沿着相关思路提出了其他基于格的密码系统。AD密码系统主要具有理论意义,而GGH密码系统则被视为当前基于数论的方案(如RSA密码系统)的实用替代方案。
另外,还有McEliece和NTRU这两个相关的密码系统。严格来说,它们并非基于格的密码系统,前者基于编码理论问题的难度,后者使用了多项式环和有限域算术的思想。不过,NTRU的安全性与某些格问题的难度相关,并且它是上述方案中最实用的,其密钥大小为$O(n \log n)$,而McEliece、GGH及其相关方案的密钥大小为$\Omega(n^2)$ (实际上,GGH密钥可能大到$O(n^3 \log n)$)。
与RSA一样,目前尚无对GGH密码系统(除Ajtai和Dwork的理论方案外的其他方案)安全性的证明,其安全性是基于某些格问题难以解决的经验证据。为了激发对其系统的密码分析工作并确定合适的密钥大小,GGH的作者发布了五个数值挑战,对应安全参数$n$取值为200、250、300、350、400,公钥大小从330 KB到超过2 MB不等。尽管最小维度的密钥就很大,但由于加密时间与密钥大小基本呈线性关系,而模幂运算通常需要$O(n^3)$次操作,所以该密码系统仍能与基于数论的密码系统竞争。
在1997年的Crypto会议上提出GGH密码系统时,已知使用格约简技术可以
订阅专栏 解锁全文
扫一扫
45
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
