基于NTRU的群组密钥协商改进

原创于 2025-10-25 06:48:25 发布 · 563 阅读

CC 4.0 BY-SA版权

文章标签：

密码分析与群组密钥协商的改进构造用于安全的群组通信

徐军1,2,胡磊1,2(B)，张晓娜1,2,彭立强1,2,和黄章杰1,2
1中国科学院信息工程研究所信息安全国家重点实验室，北京100093，中国{xujun,hulei,zhangxiaona,pengliqiang,huangzhangjie}@iie.ac.cn
2中国科学院数据保障与通信安全研究中心，北京100093，中国

摘要

本文对基于NTRU的群组密钥协商提出了一种唯密文攻击。我们的攻击能够在无法获取任何群成员的秘密解密密钥的情况下恢复明文，即使仅有两个组成员时也能成功。为了克服这一缺陷，我们提出了一种改进的群密钥协商，并进行了相应的密码分析，结果表明该方案在某些约束条件下是安全的，并且对这种唯密文攻击以及其他攻击具有弹性。

关键词 ：群组密钥协商 · Secure群组通信 · NTRU密码系统 · Ciphertext-only攻击

1 引言

对称群密钥协商[5]使得两个或更多成员能够创建一个公共密钥，该密钥由组成员用于加密和解密。迪菲和赫尔曼[11]于2004年提出了迪菲‐赫尔曼协议的三方版本。迄今为止，为了将迪菲‐赫尔曼协议推广到多方情形，已提出大量方案，例如[2,4,10,12,13,15]。

在欧洲密码学年会2009上，吴等人[20]提出了非对称群协商的概念，这是一种新型的群组密钥协商。在这种机制中，所有群成员协商并公布一个公共群加密密钥，但各自保留其秘密的解密密钥。每个成员都可以使用自己的私钥正确解密任何用该公共加密密钥加密的密文。吴等人还给出了基于双线性对的通用构造以及一个具体的单轮非对称群协商方案。然而，他们的协议未经过认证，且仅适用于静态群。

一种关于非对称群密钥协商的通用构造在[16,17]中被设计。公共群加密密钥通过结合所有成员的公钥，并利用中国剩余定理的思想生成。文献[16]中的设计者提出了一种基于ElGamal方案的实例，该方案为移动自组织网络提供了机密性和不可否认性。文献[17]中的作者提出了另一种针对动态对等系统的基于NTRU的非对称群密钥协商具体方案，该方案是一种单轮、分布式且自组织的协议。设计者指出，该协议的安全性依赖于NTRU密码系统。

NTRU是一种基于格的后量子加密算法，其安全性依赖于求解特定格问题的难解性。NTRU的第一个版本由霍夫施泰因、皮弗和西尔弗曼在1998年提出，记为NTRU‐1998。随后，在2001年和2005年分别提出了两个具有不同参数集的主要变体，即NTRU‐2001[8]和NTRU‐2005[9]。NTRU已被采纳为IEEE 1363.1标准[19]以及金融服务行业的X9.98标准[1]。

本文中，我们证明了在[17]中提出的基于NTRU的群组密钥协商是不安全的。任何攻击者只要获得相应的密文即可恢复明文。此外，我们提出了一种改进设计以抵御这种唯密文攻击，并将其安全性归约到NTRU密码系统。

本文的其余部分组织如下：在第2节中，我们介绍一些术语和NTRU密码系统；在第3节中，我们回顾一种基于NTRU的群组密钥协商方案；唯密文攻击和实验结果在第4节中给出；在第5节中，我们提出改进构造及安全性分析；第6节是结论。

2 预备知识

对于本文的其余部分，Z、Zm和Q分别表示整数环、剩余类环和有理数域，其中m是一个正整数。此处，m的Zm被视为从(−m/2, m/2]之间的整数集合。对于正整数N，R、Rm和R′分别表示Z[x]/(x^N − 1)、Zm[x]/(x^N−1)和Q[x]/(x^N−1)，即次数小于N且系数分别属于Z、Zm和Q的多项式集合。设∗为循环乘法。对于a(x) = ∑ a_i x^i, b(x) = ∑ b_j x^j ∈ R′，a(x)与b(x)的乘积c(x) = ∑ c_k x^k由以下给出：

$$
c(x) = a(x) ∗ b(x) \quad \text{with} \quad c_k = \sum_{i+j \equiv k \pmod{N}} a_i b_j.
$$

对于任意多项式a(x) = ∑ a_i x^i ∈ R′，其向量形式和矩阵形式分别写为a = (a_0, a_1, …, a_{N−1})^T 和

$$
M_a =
\begin{bmatrix}
a_0 & a_{N−1} & \cdots & a_1 \
a_1 & a_0 & \cdots & a_2 \
\vdots & \vdots & \ddots & \vdots \
a_{N−1} & a_{N−2} & \cdots & a_0
\end{bmatrix}.
$$

因此，a(x) ∗ b(x)对应的向量和矩阵形式分别为M_a · b 和 M_a · M_b。

2.1 NTRU公钥密码系统

我们给出NTRU密码系统的描述。请参考[7–9]以获取详细信息。

参数：元组(N, p, q, L_f, L_g, L_r, L_m)是一组参数。N是一个奇素数。p是一个整数或多項式。q是一个正整数。L_f, L_g, L_r, L_m是R的子集。L_f, L_g与私钥空间相关。L_r, L_m分别是随机多项式空间和明文空间。

密钥生成 ：随机选择一个多项式f(x) ∈ L_f，使得存在多项式f_p(x), f_q(x) ∈ R满足

$$
f(x) ∗ f_p(x) ≡ 1 \pmod{p} \quad \text{and} \quad f(x) ∗ f_q(x) ≡ 1 \pmod{q}.
$$

随机选择一个多项式g(x) ∈ L_g，并通过h(x) = p ∗ f_q(x) ∗ g(x) mod q计算多项式h(x) ∈ R_q。

公钥和私钥 ：多项式h(x)是公钥，元组(f(x), f_p(x))是私钥。

加密：对于明文m(x) ∈ L_m，随机选择一个多项式r(x) ∈ L_r，并计算密文c(x) ∈ R_q为

$$
c(x) = h(x) ∗ r(x) + m(x) \mod q. \tag{1}
$$

解密：接收方首先通过a(x) = f(x) ∗ c(x) mod q计算多项式a(x) ∈ R_q，其等于

$$
a(x) = p ∗ g(x) ∗ r(x) + f(x) ∗ m(x) \pmod{q}.
$$

注意到p ∗ g(x) ∗ r(x) + f(x) ∗ m(x)的几乎所有系数都在(−q/2, q/2]中，因此有高概率满足a(x) = p ∗ g(x) ∗ r(x) + f(x) ∗ m(x)。最后，接收方由于

$$
m(x) = a(x) ∗ f_p(x) \mod p
$$

而恢复明文m(x)。

莫尔和杨总结了NTRU三种主要实例的参数[18]，我们在表1中列出了它们的比较。这里，d_f, d_g, d_r是已知的正整数。B, B(d), T是R的子集。B中所有多项式的系数属于{0, 1}。B(d)是B的子集。对于B(d)中的每个多项式，其系数中恰好有d个1。T中所有多项式的系数都在{−1, 0, 1}中。对于整数d1和d2，L(d1, d2)是T的子集。对于L(d1, d2)中的每个多项式，其系数中恰好有d1个1和d2个−1。

表1. NTRU变体的参数

变体	q	p	L_f	L_g	L_r	L_m
NTRU‐1998	2^k ∈ [N^2, N]	3	L(d_f, d_f − 1)	L(d_g, d_g)	L(d_r, d_r)	T
NTRU‐2001	2^k ∈ [N^2, N]	x+2	1 + p ∗ B(d_f)	B(d_g)	B(d_r)	B
NTRU‐2005	素数	2	1 + p ∗ B(d_f)	B(d_g)	B(d_r)	B

3 基于NTRU的群组密钥协商描述

在本节中，我们回顾了文献[17]中提出的一种基于NTRU的群组密钥协商。更多详细信息请参考[17]。这里我们将组成员集合记为{u₁, u₂, …, uₙ}。

3.1 基于NTRU的群组密钥协商

每个成员的公钥和私钥 。每个成员u_i (i = 1, …, n)随机生成NTRU密码系统的一个公钥h_i(x)和相应的私钥(f_i(x), f_ip(x))。每个成员向其他组成员广播其对应的公钥。
公共参数 。发起成员选取n个明显大于NTRU密码系统中q的正整数m₁, m₂, …, mₙ，这些整数两两互素。发起成员广播他的公钥以及m₁, m₂, …, mₙ。
群组加密密钥 。令$M = \prod_{i=1}^{n} m_i$, $M_i = M / m_i$ 和 $y_i = M_i^{-1} \mod m_i$。每个成员u_i (i = 1, …, n)选择相应的m_i，并本地计算公共群加密密钥h(x) ∈ R_M通过

$$
h(x) = \sum_{i=1}^{n} M_i y_i h_i(x) \mod M. \tag{2}
$$

加密。给定明文m(x) ∈ L_m，任意群成员均可随机选择一个在L_r中的多项式r(x)，并计算密文c(x) ∈ R_M为

$$
c(x) = \left(h(x) ∗ r(x) + \left(\sum_{i=1}^{n} M_i y_i\right) ∗ m(x)\right) \mod M. \tag{3}
$$

解密。对于给定的密文c(x)，每个群成员u_i (i=1,…, n)计算c_i(x) = c(x) mod m_i，其中c_i(x)的系数位于(−m_i/2, m_i/2]内。该方程可简化为

$$
c_i(x) = h_i(x) ∗ r(x) + m(x) \pmod{m_i}.
$$

根据m_i远大于q，存在

$$
c_i(x) = h_i(x) ∗ r(x) + m(x). \tag{4}
$$

然后，他可以使用对应的私钥(f_i(x), f_ip(x))，按照NTRU密码系统的解密过程恢复明文m(x)。

注释1 . 在实际中，[17]的设计者指出，每个成员u_i应广播h′_i(x) = h_i(x) ∗ ϕ_i(x)，而不是h_i(x)，其中i = 1, …, n中的ϕ_i(x)是L_r中的未知随机多项式。实际上，该ϕ_i(x)也可被视为临时密钥，以防止因公钥h_i(x)泄露而可能引发的攻击。在这种情况下，公共群加密密钥h(x)由以下方式生成

$$
h(x) = \sum_{i=1}^{n} M_i y_i h’_i(x) \mod M. \tag{5}
$$

显然，当ϕ_i(x) = 1 对于i = 1,…, n时，(5)退化为(2)。

4 对基于NTRU的群组密钥协商的攻击

在本节中，我们对基于NTRU的群组密钥协商提出了一种高效的唯密文攻击。

4.1 唯密文攻击

注意到公钥h₁(x), …, hₙ(x)以及正整数m₁, …, mₙ是公开广播的，任何攻击者都可以轻易获取，这意味着攻击者可以获得等式(4)，即，

$$
c_i(x) = h_i(x) ∗ r(x) + m(x) \quad \text{for } i = 1, …, n.
$$

在通常意义的多项式乘法下，上述方程可转化为

$$
c_i(x) = h_i(x)r(x) + m(x) \pmod{x^N − 1} \quad \text{for } i = 1, …, n. \tag{6}
$$

显然，一旦随机多项式r(x)被泄露，攻击者就能恢复明文m(x)。根据这一思路，攻击者首先在(6)中消去m(x)，得到以下方程

$$
c_i(x) − c_j(x) = (h_i(x) − h_j(x)) r(x) \pmod{x^N − 1}, \quad \text{where } 1 ≤ i < j ≤ n.
$$

由于N是素数且x^N − 1 = (x^{N−1} + ⋯ + x + 1)(x − 1)，根据线性代数可知x^{N−1} + ⋯ + x + 1和x − 1在Q上互素且不可约。因此，存在不同的i和j，使得多项式h_i(x) − h_j(x)和x^N − 1以极大可能性互素。换句话说，h_i(x) − h_j(x)在R′中很可能是可逆的。因此，攻击者能够计算出

$$
r(x) = (h_i(x) − h_j(x))^{-1} (c_i(x) − c_j(x)) \pmod{x^N − 1}.
$$

此外，攻击者通过计算恢复明文m(x)

$$
m(x) = \left(c_i(x) − h_i(x)(h_i(x) − h_j(x))^{-1}(c_i(x) − c_j(x))\right) \pmod{x^N − 1}. \tag{7}
$$

事实上，设c_i = (c_{i,0}, …, c_{i,N−1})^T、r = (r_0, …, r_{N−1})^T和m = (m_0, …, m_{N−1})^T分别为多项式

$$
c_i(x) = \sum_{k=0}^{N−1} c_{i,k}x^k, \quad r(x) = \sum_{k=0}^{N−1} r_kx^k, \quad m(x) = \sum_{k=0}^{N−1} m_kx^k
$$

对应的向量。令多项式

$$
h_i(x) = \sum_{k=0}^{N−1} h_{i,k}x^k
$$

对应的矩阵为

$$
M_{h_i} =
\begin{bmatrix}
h_{i,0} & h_{i,N−1} & \cdots & h_{i,1} \
h_{i,1} & h_{i,0} & \cdots & h_{i,2} \
\vdots & \vdots & \ddots & \vdots \
h_{i,N−1} & h_{i,N−2} & \cdots & h_{i,0}
\end{bmatrix} \quad \text{with } i = 1, …, n.
$$

多项式方程（7）也可以重写为以下线性形式

$$
m = c_i − M_{h_i} \cdot (M_{h_i} − M_{h_j})^{-1} \cdot (c_i − c_j), \tag{8}
$$

其中1 ≤ i < j ≤ n。

4.2 进一步分析

对于群组加密密钥h(x)在备注1中，上述唯密文攻击仍然有效。类似地，攻击者可以获得以下多项式方程

$$
c_i(x) = h’_i(x) ∗ r(x) + m(x), \quad i = 1, …, n.
$$

这些方程的形式与（4）相同，只是将成员h_i(x)的公钥u_i替换为已知的h’_i(x)。通过执行第4.1节中的方法，可以通过计算恢复明文m(x)

$$
m(x) = \left(c_i(x) − h’_i(x)(h’_i(x) − h’_j(x))^{-1} (c_i(x) − c_j(x))\right) \pmod{x^N − 1},
$$

或

$$
m = c_i − M_{h’ i} \cdot (M {h’ i} − M {h’_j})^{-1} \cdot (c_i − c_j),
$$

其中1 ≤ i < j ≤ n。

4.3 实验结果

我们的实验是在一台配备Intel(R) Core(TM) Quad CPU（2.83 GHz，3.25 GB内存，Windows XP）的PC上，使用Magma计算机代数系统[3]完成的。每个随机实例的实验均在1秒内完成。我们对基于群组密钥协商的上述唯密文攻击进行了实施，基于NTRU的三个主要实例。我们发现，即使在h₁(x)−h₂(x)和矩阵M_{h₁} − M_{h₂}的情况下，它们也始终是可逆的。当n = 2时，对于由(5)生成的h(x)，我们也总能得到可逆多项式h′₁(x) − h′₂(x)以及可逆矩阵M_{h′₁} − M_{h′₂}，即使在n = 2的情况下也是如此。一些结果列于表2中：

表2. NTRU不同变体上攻击方案的实验结果

变体	N	q	p	d_f	d_g	d_r	M_{h₁} − M_{h₂}	M_{h′₁} − M_{h′₂}	攻击结果
NTRU-1998	167	128	3	60,2	0,1	8	可逆	可逆	成功
NTRU‐2001	167	128	x+2	60,25	19,24	5	可逆	可逆	成功
NTRU‐2005	107	97	2	—	—	—	可逆	可逆	成功
## 5 一种改进的基于NTRU的群组密钥协商

在本节中，我们提出一种改进的基于NTRU的群组密钥协商，以防止上述唯密文攻击，并给出相应的安全性分析。

5.1 改进的群组密钥协商

每个成员的公钥和私钥 。每个成员 $ u_i (i = 1, …, n) $ 随机选择一个多项式 $ f_i(x) \in L_f $，使得存在多项式 $ f_{ip}(x), f_{iq}(x) \in R $ 满足

$$
f_i(x) ∗ f_{ip}(x) ≡ 1 \pmod{p} \quad \text{and} \quad f_i(x) ∗ f_{iq}(x) ≡ 1 \pmod{q}.
$$

随机选择一个多项式 $ g_i(x) \in L_g $，并通过 $ h_i(x) = p ∗ f_{iq}(x) ∗ g_i(x) \mod q $ 计算可逆多项式 $ h_i(x) \in R_q $。每个群成员向其他组成员广播相应的公钥。

公共参数 。发起成员选择 $ n $ 个不同的素数 $ m_1, m_2, …, m_n $，满足 $ m_{\text{in}} > (N + 2)q + 2 $，其中 $ m_{\text{in}} = \min{m_1, …, m_n} $。发起成员广播其公钥以及 $ m_1, m_2, …, m_n $。每个成员 $ u_i $ 为 $ i = 1, …, n $ 选取相应的 $ m_i $。
群组加密密钥 。令 $ M = \prod_{i=1}^{n} m_i $, $ M_i = M / m_i $ 和 $ y_i = M_i^{-1} \mod m_i $。所有成员根据 $ h(x) \in R_M $ 本地计算公共群加密密钥

$$
h(x) = \sum_{i=1}^{n} M_i y_i h_i(x) \mod M.
$$

加密。给定明文 $ m(x) \in L_m $，任意群成员选择 $ n $ 随机多项式 $ r_1(x), …, r_n(x) \in L_r $ 以及 $ n $ 随机多项式 $ s_1(x), …, s_n(x) $，其所有系数均来自区间 $ (-\lfloor \frac{m_{\text{in}} - Nq - 2}{2q} \rfloor, \lfloor \frac{m_{\text{in}} - Nq - 2}{2q} \rfloor] $。然后，该成员计算密文 $ c(x) \in R_M $ 为

$$
c(x) = \left( h(x) ∗ m(x) + \sum_{i=1}^{n} M_i y_i (r_i(x) + q ∗ s_i(x)) \right) \mod M. \tag{9}
$$

备注2 . 我们的加密过程不同于[17]。这种新设计可以防止上述唯密文攻击。详细分析见下一小节。

解密。对于给定的密文 $ c(x) $，每个群成员 $ u_i (i=1,…, n) $ 都可以使用相应的私钥 $ (f_i(x), f_{ip}(x)) $ 恢复明文 $ m(x) $。

接下来，我们详细介绍解密过程并解释其工作原理。

步骤1 。每个群成员 $ u_i $ 首先计算多项式 $ c_i(x) \in R_M $ 为 $ c_i(x) = c(x) \mod m_i $。根据(9)，有

$$
c_i(x) = h_i(x) ∗ m(x) + r_i(x) + q ∗ s_i(x) \pmod{m_i}.
$$

注意，$ h_i(x) $ 和 $ s_i(x) $ 的所有系数分别来自 $ (−q/2, q/2] $ 以及 $ (-\lfloor \frac{m_{\text{in}} - Nq - 2}{2q} \rfloor, \lfloor \frac{m_{\text{in}} - Nq - 2}{2q} \rfloor] $，$ m(x) \in L_m $ 和 $ r_i(x) \in L_r $，根据三角不等式，多项式 $ h_i(x) ∗ m(x) + r_i(x) + q ∗ s_i(x) $ 的所有系数均有界：

$$
\frac{q}{2} N + 1 + q \cdot \left\lfloor \frac{m_{\text{in}} - Nq - 2}{2q} \right\rfloor \leq \frac{m_{\text{in}}}{2} \leq \frac{m_i}{2}.
$$

由于 $ c_i(x) $ 的所有系数都来自 $ (−m_i/2, m_i/2] $，因此

$$
c_i(x) = h_i(x) ∗ m(x) + r_i(x) + q ∗ s_i(x).
$$

此外，成员 $ u_i $ 可以得到以下方程

$$
c_i(x) = h_i(x) ∗ m(x) + r_i(x) \pmod{q}. \tag{10}
$$

步骤2 。成员 $ u_i $ 计算多项式 $ a(x) = f_i(x) ∗ c_i(x) \mod q $，其中 $ a(x) \in R_q $。由(10)可知，成员 $ u_i $ 知道

$$
a(x) = p ∗ g_i(x) ∗ m(x) + f_i(x) ∗ r_i(x) \mod q.
$$

由于多项式 $ p ∗ g_i(x) ∗ m(x) + f_i(x) ∗ r_i(x) $ 的几乎所有系数都以高概率位于 $ (−q/2, q/2] $ 内。因此，$ a(x) = p ∗ g_i(x) ∗ m(x) + f_i(x) ∗ r_i(x) $。此外，$ u_i $ 可以根据 $ r_i(x) = a(x) ∗ f_{ip}(x) \mod p $ 获得 $ r_i(x) $。

步骤3 。成员 $ u_i $ 通过计算恢复明文 $ m(x) $

$$
m(x) = h_i^{-1}(x) ∗ (c_i(x) − r_i(x)) \mod q.
$$

5.2 安全分析

在本小节中，我们对基于NTRU密码系统的改进的群密钥协商的安全性进行分析。

首先，我们解释为什么本节4中提出的改进的群密钥协商能够抵抗唯密文攻击。注意到攻击者可以获得的密钥方程分别为(4)和(10)。对于前者，存在 $ n $ 个多项式方程和两个未知多项式，因此只能通过消元技术获得明文。但对于后者，存在 $ n $ 个多项式方程和 $ n+1 $ 个未知多项式。因此，攻击者无法使用相同的技术找到明文。

接下来，我们给出以下定理，以表明我们改进的群密钥协商的安全性依赖于NTRU公钥密码系统。

定理1 . 若底层的NTRU公钥密码系统是安全的，则第5.1节中的改进的群密钥协商是安全的。

证明 . 一方面，改进的群密钥协商中每个群成员 $ h_i(x) $ 的公钥和私钥 $ (f_i(x), f_{ip}(x)) $ 均随机生成自底层的NTRU公钥密码系统。因此，如果NTRU公钥密码系统能够抵御恢复私钥的攻击，则第5.1节中的改进的群密钥协商在相同情况下也是安全的。

另一方面，根据改进的群密钥协商中的加密方程（9），攻击者可以直接得到方程组（10），即

$$
c_i(x) = h_i(x) ∗ m(x) + r_i(x) \pmod{q} \quad \text{for } i = 1, …, n.
$$

由于所有公钥 $ h_i(x) $ 在 $ R_q $ 中是可逆的，攻击者可以得到以下方程

$$
h_i^{-1}(x) ∗ c_i(x) = h_i^{-1}(x) ∗ r_i(x) + m(x) \pmod{q} \quad \text{with } i = 1, …, n.
$$

注意，上述方程的形式与NTRU公钥密码系统中的加密方程（1）完全相同。因此，第5.1节中提出的改进的群密钥协商方案在恢复明文类攻击下具有与NTRU公钥密码系统相同的安全性。■

实际上，我们的改进的群密钥协商对群成员的数量存在约束条件。当 $ n $ 足够大时，文献中针对NTRU密码系统的广播攻击可能会影响该方案的安全性。从密钥方程（10）可知，每个 $ c_i(x) $ 可被视为同一明文 $ m(x) $ 使用不同公钥 $ h_i(x) $ 加密后的密文。一旦密文 $ c(x) $ 被公开，$ c_i(x) $ 就很容易被获取。在这种情况下，攻击者试图恢复明文 $ m(x) $。这就是所谓的广播攻击。

文献[6,14]给出了 $ n $ 的下界，为了使广播攻击有效，我们在表3中列出了他们的结果。

表3. 广播攻击成功的最少密文数量

密文数量	NTRU-1998	NTRU-2001	NTRU-2005
n[6]	$ \frac{N^2 + 11}{6} $	$ \frac{N + 1}{2} $	$ \frac{N + 1}{2} $
n[14]	$ \frac{3N - 3}{2} $	$ \frac{3N - 5}{2} $	$ \frac{3N - 5}{2} $

为了防止这种攻击，我们对改进的群密钥协商中组成员的数量 $ n $ 给出如下约束条件：

$$
n <
\begin{cases}
\frac{3N - 3}{2}, & \text{NTRU-1998}, \
\frac{N + 1}{2}, & \text{NTRU-2001}, \
\frac{N + 1}{2}, & \text{NTRU-2005},
\end{cases}
$$

其中素数 $ N $ 是NTRU公钥密码系统的参数。