56、后量子密码学：设计与实现的攻击与对策

后量子密码学：设计与实现的攻击与对策

1. 解密失败与反应攻击

反应攻击，即基于解密失败的攻击，大约在20年前首次被发现。早期针对McEliece、Ajtai - Dwork和NTRU等密码系统的攻击，在被遗忘十多年后又被重新发现。对于基于格和基于码的有噪声密码系统的设计者来说，必须考虑这类攻击。

1.1 反应攻击原理

基于格和基于码的加密方案一般形式为：$ct = pk · e + e′ + Encode(msg)$，其中$Encode(msg)$是消息的编码，$(e, e′)$是噪声误差向量。解密时，使用解密密钥$sk$获取$Encode(msg)$加上一些噪声，然后恢复消息。但对于部分可接受的$(e, e′)$，解密可能失败，且失败比例与$sk$有关。

反应攻击的高级策略包括：
1. 预计算 ：预先计算出有高概率导致解密失败的“有毒”误差$(e, e′)$。
2. 查询 ：使用这些“有毒”误差向目标发送密文，并观察解密失败情况。
3. 重构 ：从解密失败情况推断出$sk$。

反应攻击属于选择密文攻击（CCA）。在CCA方案中，$(e, e′)$由伪随机生成器（PRG）根据消息和/或公钥生成，攻击者需通过穷举搜索找到“有毒”向量，因此预计算阶段通常计算量最大。

1.2 不同度量下的反应攻击

反应攻击已被应用于基于汉明度量、秩度量的基于码的方案以及基于格的方案。针对基于格或汉明度量的方案的攻击具有很强的几何性，旨在学习私钥的几何结构；而针对秩度量方案