8、从多个密文中解码一个的研究

从多个密文中解码一个的研究

1. 引言

近年来，随着后量子密码学的兴起，基于码的密码学受到了广泛关注。它涵盖了公钥加密方案、零知识证明协议、数字签名、哈希函数、流密码等多种经典密码原语。这些基于码的密码原语的安全性都依赖于对无明显代数结构的线性码进行解码的困难性，而该问题是NP难问题。

在实际攻击中，攻击者可能会面临同时拥有同一线性码的多个解码问题实例，但只需要解决其中一个的情况。例如，Bleichenbacher针对数字签名CFS的攻击是广义生日算法（GBA）的一种变体，当攻击者尝试对N条消息中的一条进行签名时，理论上可以获得√N的加速。此前也有人尝试使用信息集解码（ISD）处理多个实例，但缺乏完整的成本分析。

本文将对ISD进行修改，并进行完整的成本分析。当解码的错误数小于Gilbert - Varshamov距离（对应McEliece或Niederreiter加密方案）时，碰撞解码可以在解码N个实例中的一个时节省N^(0.5 - c)（c为小的正数）的因子。如果实例数量不受限制，解码成本将提升到(2/3 + c’)次幂（c’为小的正数），即安全位数会被一个接近但小于1.5的数除。

符号说明 ：
- Sn(0, w)表示汉明空间{0, 1}^n中以0为中心、半径为w的球体，更一般地，Sn(x, w)表示以x为中心的相同球体。
- |X|表示集合X的基数。

2. 密码学中的解码问题

基于码的密码学的安全性严重依赖于对随机线性码进行解码的困难性。计算综合征解码问题（CSD）是NP难问题，并且在平均情况下被认为是困难的。

问