FX密钥长度扩展构造量子Q1安全性证明

1

作者 郭淳 黄安静 郁昱 《密码学报（中英文）》 CSCD 北大核心 2024年第5期1139-1151,共13页

FX构造FX_(k,k′)[E]=E_(k)(x⊕vk′)⊕k′将密钥长度为κ比特的分组密码E:{0,1}^(κ)×{0,1}^(n)→{0,1}^(n)转化为密钥长度为κ+n比特的分组密码,是最高效的密钥长度扩展方法.基于对所谓Even-Mansour构造的前期研究(EUROCRYPT 202... FX构造FX_(k,k′)[E]=E_(k)(x⊕vk′)⊕k′将密钥长度为κ比特的分组密码E:{0,1}^(κ)×{0,1}^(n)→{0,1}^(n)转化为密钥长度为κ+n比特的分组密码,是最高效的密钥长度扩展方法.基于对所谓Even-Mansour构造的前期研究(EUROCRYPT 2022),Alagic等(Eprint 2022)为FX构造的可调变体提供了一个量子Q1模型中的安全性证明.然而,如Alagic等所承认,针对(原始版)FX构造,他们的证明方法未能导出令人满意的安全界.本文提出了对Alagic等证明的修补措施,从而得以证明所期望的(κ+n)/3比特紧致量子Q1安全界.本文的修补主要是改动了Alagic等证明中的一处中间值的分布,从而避免了导致更差安全界的某些不良事件.这个改动要求对Alagic等的“再采样”引理进行“依赖上下文的”扩展,这在概念上可能有一定创新. 展开更多

关键词 后量子安全性 可证明安全 密钥长度扩展 FX构造

在线阅读 下载PDF 职称材料

Pholkos算法的不可能差分分析

2

作者 周锴 王薇 《密码学报(中英文)》 北大核心 2025年第1期39-48,共10页

Pholkos算法是Bossert等人在CT-RSA 2022会议上提出的一类可调整分组密码.本文将设计者给出的一条8轮不可能差分区分器一般化为一类8轮不可能差分区分器.基于8轮的区分器,构建11轮的密钥恢复攻击模型,给出攻击复杂度与8轮不可能差分活... Pholkos算法是Bossert等人在CT-RSA 2022会议上提出的一类可调整分组密码.本文将设计者给出的一条8轮不可能差分区分器一般化为一类8轮不可能差分区分器.基于8轮的区分器,构建11轮的密钥恢复攻击模型,给出攻击复杂度与8轮不可能差分活跃字节的位置及个数有关的表达式.结合密钥生成方案,选择合适的活跃字节位置,给出目前对Pholkos-256-256的攻击轮数最长的安全性分析结果,攻击的数据复杂度为2208.0个选择明文,时间复杂度为2185.5次11轮Pholkos-256-256加密,存储复杂度为2150.0个字节. 展开更多

关键词 分组密码 密码分析 不可能差分分析 Pholkos算法

在线阅读 下载PDF 职称材料

去中心化随机信标研究

3

作者 李增鹏 赵子硕 +1 位作者 王梅 王瑞锦 《密码学报(中英文)》 北大核心 2025年第1期1-18,共18页

高效、可靠随机数的应用广泛且要求严格,例如在当下的智能合约中如果使用中心化的随机数来源,将难以解决中心节点宕机、作恶等问题,导致各种各样的攻击隐患.研究者通过将生成随机数的来源作分布式构建,采用去中心化的思想,逐渐避免依赖... 高效、可靠随机数的应用广泛且要求严格,例如在当下的智能合约中如果使用中心化的随机数来源,将难以解决中心节点宕机、作恶等问题,导致各种各样的攻击隐患.研究者通过将生成随机数的来源作分布式构建,采用去中心化的思想,逐渐避免依赖于第三方的生成,构建去中心化随机信标(decentralized randomness beacon,DRB).然而这也提出一系列诸如随机数的一致性认同、恶意节点作弊、分布式节点宕机等新的挑战与困难.本文按照DRB方案通常所基于的秘密共享、可验证延迟函数、可验证随机函数、同态加密等四种技术路线分类,分析、比较、总结了国内外DRB相关的研究成果,提出了在复杂网络环境下以及面对量子计算威胁,DRB研究和应用需要解决的四个问题. 展开更多

关键词 去中心化随机信标 可验证秘密共享 可验证延迟函数 可验证随机函数 同态加密

在线阅读 下载PDF 职称材料

可调随机置换与随机函数的量子不可区分性紧界

4

作者 郭晓宁 郭淳 《密码学报(中英文)》 北大核心 2025年第2期297-309,共13页

量子计算机的发展迫使人们去重新评估不同密码方案在应对量子攻击时的具体安全性.本文重点讨论了{0,1}^(t)×{0,1}^(n)→{0,1}^(n)上可调随机置换与随机函数的区分问题.此问题的难易程度一直是许多密码结构安全性证明的核心工具.众... 量子计算机的发展迫使人们去重新评估不同密码方案在应对量子攻击时的具体安全性.本文重点讨论了{0,1}^(t)×{0,1}^(n)→{0,1}^(n)上可调随机置换与随机函数的区分问题.此问题的难易程度一直是许多密码结构安全性证明的核心工具.众所周知,一个经典敌手若想以常数的概率成功区分两者,至少需要对谕言机进行Ω(2^(n/2))次的询问.在量子场景下,Hosoyamada和Iwata(ASIACRYPT 2019)证明,要想达到常数的成功概率,至少需要进行Ω(2^(n/6))次量子叠加态的询问,并提出了求解此问题紧界的开放性问题.本文使用Zhandry(FOCS 2012)提出的“多项式”证明方法重新探讨了这一问题,并将下界改进到了Ω(2^(n/3)).利用这一结论,将基于分组密码的可调分组密码构造LRWQ、TNT、LRQ的量子选择明文攻击(quantum chosen-plaintext attack,qCPA)安全界由O(2^(n/6))分别提高到了O(2^(n/4))、O(2^(n/3))、O(2^(n/4)) 展开更多

关键词 后量子密码 Q2模型 可调随机置换 量子伪随机函数

在线阅读 下载PDF 职称材料

智能合约安全漏洞及检测技术综述 被引量：2

5

作者 闫凯伦 刁文瑞 郭山清 《信息对抗技术》 2023年第3期1-17,共17页

智能合约是去中心化生态中的重要组件,它降低了多方合作的信任成本,因而广泛应用于数字货币和金融等领域。智能合约在区块链上自动执行,具有不可修改和不可中止的特性,合约常常持有大量数字资产,一旦存在漏洞就有可能会造成巨大损失。... 智能合约是去中心化生态中的重要组件,它降低了多方合作的信任成本,因而广泛应用于数字货币和金融等领域。智能合约在区块链上自动执行,具有不可修改和不可中止的特性,合约常常持有大量数字资产,一旦存在漏洞就有可能会造成巨大损失。随着智能合约技术的发展,合约漏洞开始从简单的语法漏洞向复杂的逻辑漏洞转变,触发漏洞的条件也可能从单一的交易演变为特定的交易序列。目前,各种针对合约的攻击层出不穷,因此开发出有效的合约漏洞检测工具显得尤为重要。为此,首先介绍了11个著名的智能合约漏洞;然后从静态分析和动态分析2个方面介绍了21个合约漏洞检测技术和工具,并从检测方法、研究对象、检测能力等方面对比这些工具,讨论了它们的优点和不足;最后,结合当前合约的安全现状展望了未来的研究工作。 展开更多

关键词 智能合约 区块链 漏洞检测 自动化工具

在线阅读 下载PDF 职称材料

公钥加密综述 被引量：2

6

作者 陈宇 易红旭 王煜宇 《密码学报（中英文）》 CSCD 北大核心 2024年第1期191-226,共36页

上世纪中叶起,信息化技术的飞速发展引发了人类社会组织形态的根本性变革,从集中式迁移为分布式,“海内存知己,天涯若比邻”从诗歌意象走进现实世界.面向分布式环境下的隐私保护需求,1976年Diffie和Hellman开创了现代密码学的新方向---... 上世纪中叶起,信息化技术的飞速发展引发了人类社会组织形态的根本性变革,从集中式迁移为分布式,“海内存知己,天涯若比邻”从诗歌意象走进现实世界.面向分布式环境下的隐私保护需求,1976年Diffie和Hellman开创了现代密码学的新方向---公钥密码学.半个多世纪以来,公钥密码学一直处于最活跃的前沿,引领驱动了密码学的研究进展,极大丰富了密码学的学科内涵.公钥加密作为公钥密码学最重要的组成部分,在理论方面孕育了可证明安全方法、将各类数学困难问题纳入工具库、启发了一系列密码原语和重要概念,已有多项突破性成果获得Turing奖和Gödel奖;在应用方面则是各类网络通信安全协议的核心组件,在公开信道上实现保密通信.当前,公钥加密仍处于快速发展阶段,在安全性方面,各类超越传统语义安全的高级安全属性研究已经日趋成熟,基于复杂性弱假设的细粒度模型下的安全研究正在兴起;在功能性方面,函数加密的研究方兴未艾,全同态加密的研究如火如荼.本综述按照安全性增强和功能性扩展这两条并行的线索对公钥加密的发展历程和前沿进展做系统性的梳理,旨在引领读者快速登高俯瞰,将重要的概念、主要的结果和关键的技术尽收眼底,在领略公钥加密沿途美景之余,远眺待探索的广袤深邃领域. 展开更多

关键词 公钥加密 属性加密 函数加密 选择密文安全 消息依赖密钥安全 紧归约

在线阅读 下载PDF 职称材料

分组密码算法uBlock积分攻击的改进

7

作者 王晨 崔佳敏 +1 位作者 李木舟 王美琴 《电子与信息学报》 EI CAS CSCD 北大核心 2024年第5期2149-2158,共10页

积分攻击是由Daemen等人(doi:10.1007/BFb0052343)于1997年提出的一种密码分析方法,是继差分分析和线性分析之后最有效的密码分析方法之一。作为2018年全国密码算法设计竞赛分组算法的获胜算法,uB-lock抵抗积分攻击的能力受到较多的关... 积分攻击是由Daemen等人(doi:10.1007/BFb0052343)于1997年提出的一种密码分析方法,是继差分分析和线性分析之后最有效的密码分析方法之一。作为2018年全国密码算法设计竞赛分组算法的获胜算法,uB-lock抵抗积分攻击的能力受到较多的关注。为了重新评估uBlock家族密码算法抵抗积分攻击的安全性,该文利用单项式传播技术,结合混合整数线性规划(MILP)工具搜索积分区分器,并利用部分和技术进行密钥恢复攻击。对于uBlock-128/128和uBlock-128/256,基于搜索到的9轮积分区分器分别进行了首个11轮和12轮攻击,数据复杂度为2~(127)选择明文,时间复杂度分别为2~(127.06)和2~(224)次加密,存储复杂度分别为2~(44.58)和2~(138)字节;对于uBlock-256/256,基于搜索到的10轮积分区分器进行了首个12轮攻击,数据复杂度为2~(253)选择明文,时间复杂度为2~(253.06)次加密,存储复杂度为2~(44.46)字节。与之前uBlock的最优积分攻击结果相比,uBlock-128/128和uBlock-256/256的攻击轮数分别提高2轮,uBlock-128/256的攻击轮数提高3轮。本文的攻击说明,uBlock针对积分攻击依然有足够的安全冗余。 展开更多

关键词 密码分析 分组密码 uBlock 积分攻击

在线阅读 下载PDF 职称材料

格上可撤销的基于身份的条件代理重加密方案

8

作者 王明强 王伟嘉 +1 位作者 王洋 张雍杰 《密码学报(中英文)》 CSCD 北大核心 2024年第6期1256-1277,共22页

(基于属性的)条件代理重加密方案(AB-CPRE)可以使一个委托人通过不同的控制策略向其他人授权解密权限,这为加密数据外包存储的细粒度访问权限控制问题提供了一个很好的解决方案.最近,Liang等人在ESORICS 2021上给出了第一个格上基于属... (基于属性的)条件代理重加密方案(AB-CPRE)可以使一个委托人通过不同的控制策略向其他人授权解密权限,这为加密数据外包存储的细粒度访问权限控制问题提供了一个很好的解决方案.最近,Liang等人在ESORICS 2021上给出了第一个格上基于属性的条件代理重加密方案,该方案在选择属性的条件下可以抵抗任意多项式时间敌手的选择明文攻击.但普通的AB-CPRE方案可能面临密钥管理繁琐等问题.本文给出了可撤销的、基于身份的单跳条件代理重加密方案(RIB-AB-CPRE)的定义、安全模型并给出了具体构造.所构造的可撤销的、基于身份的单跳条件代理重加密方案是基于(密钥策略)属性的,即采用密钥策略来进行访问权限的细粒度控制.在选择身份、系统时刻和属性的条件下,基于LWE假设可以证明所提方案抵抗任意多项式时间敌手的选择明文攻击.同时,方案也抵抗解密密钥泄露攻击. 展开更多

关键词 条件代理重加密体制 可撤销的基于身份的加密体制 格密码 LWE问题

在线阅读 下载PDF 职称材料

可认证数据结构综述

9

作者 孔祥玉 陈宇 《密码学报（中英文）》 CSCD 北大核心 2024年第3期545-574,共30页

可认证数据结构是一种利用密码学技术保证分布式环境中远程数据计算正确性的特殊数据结构.近年来,随着分布式计算的发展,可认证数据结构受到广泛关注.本文为可认证数据结构提供了统一框架,并从类别、构造和应用等方面对可认证数据结构... 可认证数据结构是一种利用密码学技术保证分布式环境中远程数据计算正确性的特殊数据结构.近年来,随着分布式计算的发展,可认证数据结构受到广泛关注.本文为可认证数据结构提供了统一框架,并从类别、构造和应用等方面对可认证数据结构进行系统综述.首先,根据数据和计算的类型对可认证数据结构进行分类.其次,针对各类可认证数据结构,分别介绍其发展历程、构造方法和典型应用.再次,梳理各类可认证数据结构之间的关系.最后,探讨可认证数据结构的发展方向. 展开更多

关键词 可认证数据结构 累加器 向量承诺 多项式承诺 线性函数承诺

在线阅读 下载PDF 职称材料

大模型应用可信框架研究

10

作者 韦韬 刘焱 +4 位作者 翁海琴 仲震宇 朱泽韬 王宇 王美琴 《信息安全研究》 CSCD 北大核心 2024年第12期1153-1159,共7页

大模型技术的出现极大推动了人工智能在各行各业的快速应用,但大模型在实际应用过程中面临着一系列由“模型幻觉”导致的安全可信挑战.这些挑战导致大模型应用落地时,尤其是安全攸关的专业性推理和研判时,其给出的结果难以被轻易信任采... 大模型技术的出现极大推动了人工智能在各行各业的快速应用,但大模型在实际应用过程中面临着一系列由“模型幻觉”导致的安全可信挑战.这些挑战导致大模型应用落地时,尤其是安全攸关的专业性推理和研判时,其给出的结果难以被轻易信任采纳.在诸多专业领域实践中发现,大模型应用过程中缺乏一个统一的技术框架保证其结果的可信,严重阻碍了大模型技术在专业领域的应用.针对这个问题,结合在金融、医疗、安全等专业领域的应用实践,提出一种集充足数据(data,D)、专业知识(knowledge,K)、能力协同(collaboration,C)、高效反馈(feedback,F)为一体的大模型可信应用框架DKCF.希望DKCF可以推动行业大模型安全可信,助力大模型应用变革,推动越来越多的行业迎来革命. 展开更多

关键词 DKCF 大模型 可信 可信框架 网络安全

在线阅读 下载PDF 职称材料

Camellia和CLEFIA的自动化中间相遇攻击

11

作者 侯庆良 李坤桐 +2 位作者 董晓阳 张国艳 申延召 《密码学报（中英文）》 CSCD 北大核心 2024年第5期1160-1178,共19页

中间相遇(MitM)是一种高效构造哈希函数原像和碰撞攻击的策略.近年来,基于混合整数线性规划(MILP)的MitM原像、碰撞和密钥恢复攻击被广泛应用于AES-like密码学原语.在ASIACRYPT 2023上,Hou等人将自动化MitM攻击扩展到具有Feistel或广义F... 中间相遇(MitM)是一种高效构造哈希函数原像和碰撞攻击的策略.近年来,基于混合整数线性规划(MILP)的MitM原像、碰撞和密钥恢复攻击被广泛应用于AES-like密码学原语.在ASIACRYPT 2023上,Hou等人将自动化MitM攻击扩展到具有Feistel或广义Feistel结构的哈希函数中,其关注的(广义)Feistel结构轮函数的线性变换层往往是基于MDS矩阵构造.在实际密码设计中,轮函数线性变换可以有多种构造方式,而不一定基于MDS矩阵设计.本文将针对一般化的轮函数线性变换进行自动化MitM攻击建模,提出了n-XOR的模型,将输出字描述为任意数目输入字的异或,并应用在一般化的布尔矩阵中.结合Hou等人的模型,对ISO标准分组密码Camellia和CLEFIA哈希模式原像进行分析.对于省略了白化层和FL/FL^(−1)变换的弱化Camellia-MMO,最高可以搜索到14轮的中间相遇原像特征;对于CLEFIA-MMO,在适当增加存储的代价下,最高搜索到13轮的中间相遇原像特征.两个攻击的时间复杂度均为2^(120),相较于之前的最优结果(Sasaki,ACNS 2013),攻击轮数均有1轮的提高. 展开更多

关键词 Camellia算法 CLEFIA算法 中间相遇 原像攻击 n-XOR模型 自动化工具

在线阅读 下载PDF 职称材料

一种非常紧凑的掩码AES的硬件设计与实现 被引量：1

12

作者 隋谦 周佳运 +4 位作者 祝一豪 苏杨 许森 王伟嘉 无 《密码学报（中英文）》 CSCD 北大核心 2024年第3期662-680,共19页

差分能量分析作为一种强大的侧信道攻击手段,已经严重威胁到密码算法硬件实现的安全性,目前防护此类攻击最有效的方法就是对密码算法进行掩码处理.在AES算法中只有S盒是非线性的,因此如何安全高效地实现S盒一直是密码学领域的研究热点之... 差分能量分析作为一种强大的侧信道攻击手段,已经严重威胁到密码算法硬件实现的安全性,目前防护此类攻击最有效的方法就是对密码算法进行掩码处理.在AES算法中只有S盒是非线性的,因此如何安全高效地实现S盒一直是密码学领域的研究热点之一.本文在De Meyer等人研究工作的基础上,提出了一种具有已知最小面积的掩码S盒的串行化实现方案.先将用于零值处理的Kronecker Delta函数串行化,接着通过共享一个8位乘法器模块用于求逆以及布尔掩码和乘法掩码之间的转换,最后加上仿射变换以最小的面积代价实现了S盒.本文将S盒应用于AES算法,并且提供了掩码AES的串行化实现方案,同时给出了该方案的面积下限,在此基础上,对S盒及AES算法的部分结构进行调整,为未来的工作提供了一系列权衡面积和延迟的手段.实验表明,在可比的随机数成本下,本文S盒的一阶掩码和二阶掩码实现以一定延迟为代价将面积分别降低了48%和70%, AES算法的一阶掩码和二阶掩码实现分别降低10%和21%,并且随着安全阶数的增大,本文实现方案对面积的优化幅度会进一步提高.最后,在实验中通过对从SAKURA-G板上获取的轨迹执行固定与随机的Welch T测试来验证实现的安全性,对于AES算法的一阶掩码和二阶掩码实现分别采集了多达50万条曲线,没有发现泄漏点. 展开更多

关键词 S盒 掩码 AES 侧信道攻击 电路面积

在线阅读 下载PDF 职称材料

分组密码FBC的截断差分分析

13

作者 邹光南 刘端 +1 位作者 贾珂婷 张国艳 《密码学报（中英文）》 CSCD 北大核心 2024年第3期602-620,共19页

为了促进密码算法的设计和实现,中国密码学会(CACR)于2018年举办全国密码算法设计竞赛,其中FBC算法是晋级到第二轮的十个算法之一.FBC有三个版本,即FBC128-128、FBC128-256和FBC256-256,分别能够支持128比特和256比特长度的明文和密钥.... 为了促进密码算法的设计和实现,中国密码学会(CACR)于2018年举办全国密码算法设计竞赛,其中FBC算法是晋级到第二轮的十个算法之一.FBC有三个版本,即FBC128-128、FBC128-256和FBC256-256,分别能够支持128比特和256比特长度的明文和密钥.FBC算法采用4路两重Feistel结构设计,便于硬件实现.本文利用中间相遇的截断差分构造方法,针对FBC加密算法,为FBC-128算法构造了11轮概率为2^(-108)的截断差分路线,基于该区分器,对FBC-128算法第一次给出15轮密钥恢复攻击,其中攻击的数据复杂度为2^(99)选择密文,时间复杂度是2^(100)次15轮加密,比已有的分析结果提高了3轮.对于256比特分组长度的FBC-256算法构造了15轮概率为2^(-236)的截断差分路线,基于该区分器,对FBC-256算法给出了20轮密钥恢复攻击,攻击的数据复杂度为2^(227)选择密文量,时间复杂度是2^(222.6)次20轮加密. 展开更多

关键词 分组密码 FBC 截断差分 密码分析

在线阅读 下载PDF 职称材料

隐私集合运算中的关键数据结构研究

14

作者 张响鸰 张聪 +1 位作者 刘巍然 陈宇 《密码学报（中英文）》 CSCD 北大核心 2024年第2期263-281,共19页

隐私集合运算(privatesetoperation,PSO)是安全多方计算领域的热点问题,它允许两个参与方对各自私有集合进行安全计算,同时避免额外信息泄露.常见的PSO协议包括隐私集合求交和隐私集合求并.高效的隐私集合运算协议的设计与多种高级的数... 隐私集合运算(privatesetoperation,PSO)是安全多方计算领域的热点问题,它允许两个参与方对各自私有集合进行安全计算,同时避免额外信息泄露.常见的PSO协议包括隐私集合求交和隐私集合求并.高效的隐私集合运算协议的设计与多种高级的数据结构密切相关.然而,目前隐私集合运算中各种数据结构缺乏系统梳理且无同一平台上的效率对比结果.本文将PSO中的关键数据结构分为三类,分别是哈希表、过滤器和不经意键值存储.在明确各类数据结构的基本定义与构造方式的基础上,本文梳理各数据结构的主要功能作用、总结它们在不同协议中的典型应用、探讨它们在PSO中的研究现状与主要进展,并提供各数据结构的性能对比分析与基准测试结果. 展开更多

关键词 隐私集合运算 数据结构 安全多方计算

在线阅读 下载PDF 职称材料

关于国密算法SM2的模乘优化方法

15

作者 于子钦 许光午 《密码学报（中英文）》 CSCD 北大核心 2024年第3期649-661,共13页

为了提高运算效率,密码学中一些标准的椭圆曲线所在的基域特征常为广义Mersenne素数,如NIST曲线P-256和国密SM2.在基本算术运算中,这样特殊的素数使得影响最大的模乘运算变得非常高效.对于P-256,Brown等利用Solinas方法设计的快速模约... 为了提高运算效率,密码学中一些标准的椭圆曲线所在的基域特征常为广义Mersenne素数,如NIST曲线P-256和国密SM2.在基本算术运算中,这样特殊的素数使得影响最大的模乘运算变得非常高效.对于P-256,Brown等利用Solinas方法设计的快速模约减算法可以归结成计算9个由字的向量组成的中间变量的代数和.对于SM2也有一些相关研究,但情况似乎没有那么简单.目前这方面最好的结果需要14个(字的向量组成的)中间变量.本文的目的是推进SM2素域上的快速模乘运算,以期得到接近NIST P-256的模约减算法.具体地,本文提出了两个优化方法.在第一个结果中,就SM2素数的情形加细了Solinas和Brown等人的处理方法,所需的(字的向量的)中间变量个数降低到13.在第二个结果中,采用一种新的处理技巧,通过对运算公式进行适当变换来消去变量以进一步优化,得到的方法只需11个(字的向量的)中间变量. 展开更多

关键词 SM2椭圆曲线 快速模乘 广义Mersenne素数

在线阅读 下载PDF 职称材料

关于素域上的Koblitz曲线

16

作者 伍涵 许光午 《密码学报（中英文）》 CSCD 北大核心 2024年第5期1152-1159,共8页

二元扩域F_(2^(m))上的Koblitz曲线Ea属于椭圆曲线密码学中最早一类具有理论和实际意义的曲线,在其上算术运算起重要作用的Frobenius映射τ以下面的方式关联基域的元素个数和有理点的个数:2^(m)=N(τ^(m)),#E_(a)(F_(2^(m)))=N(τ^(m)-... 二元扩域F_(2^(m))上的Koblitz曲线Ea属于椭圆曲线密码学中最早一类具有理论和实际意义的曲线,在其上算术运算起重要作用的Frobenius映射τ以下面的方式关联基域的元素个数和有理点的个数:2^(m)=N(τ^(m)),#E_(a)(F_(2^(m)))=N(τ^(m)-1),其中N是Z[τ]上的范,而有理点的个数公式通过zeta函数得出.近来区块链平台中的密码选择使素域上的Koblitz曲线E_(b):y^(2)=x^(3)+b/F_(p)得到关注,这里的素特征p≡1(mod 3).关于Eb的有理点的个数计算已有Rajwade的经典结果,其推导过程与zeta函数并无关系.本文从Rajwade公式得到Eb的有理点的个数的一个简洁表达,只需复数的基本运算,不再涉及平方剩余或立方剩余,也不用列出六个分段情况.本文公式基于Eisenstein整数环Z[ω],证明存在素元π∈Z[ω]和单位u∈Z[ω],使得p=N(π),#E_(b)(F_(p))=N(π-u).这是同二元域上Koblitz曲线的情形完全相似的表达,存在两个Z[ω]中差为一个单位的整数,它们的范分别给出基域的元素个数和曲线上有理点的个数.为此还发展了一些计算三次剩余的工具,包括有理整数的三次剩余的判定,也首次给出了2的三次剩余的确切公式. 展开更多

关键词 KOBLITZ曲线 Eisenstein整数 有理点数

在线阅读 下载PDF 职称材料

基于列表译码方法在查询访问模型下含错学习问题的分析 被引量：1

17

作者 王明强 庄金成 《电子与信息学报》 EI CSCD 北大核心 2020年第2期322-326,共5页

Regev在2005年提出了含错学习问题(LWE),这个问题与随机线性码的译码问题密切相关,并且在密码学特别是后量子密码学中应用广泛。原始的含错学习问题是在随机访问模型下提出的,有证据证明该问题的困难性。许多研究者注意到的一个事实是... Regev在2005年提出了含错学习问题(LWE),这个问题与随机线性码的译码问题密切相关,并且在密码学特别是后量子密码学中应用广泛。原始的含错学习问题是在随机访问模型下提出的,有证据证明该问题的困难性。许多研究者注意到的一个事实是当攻击者可以选择样本时,该问题是容易的。但是目前据作者所知并没有一个完整的求解算法。该文分析了查询访问模型下的带有错误学习问题,给出了完整的求解算法。分析采用的工具是将该问题联系到隐藏数问题,然后应用傅里叶学习算法进行列表译码。 展开更多

关键词 含错学习问题 查询访问模型 隐藏数问题 傅里叶学习 列表译码

在线阅读 下载PDF 职称材料

Ballet:一个软件实现友好的分组密码算法 被引量：4

18

作者 崔婷婷 王美琴 +3 位作者 樊燕红 胡凯 付勇 黄鲁宁 《密码学报》 CSCD 2019年第6期704-712,共9页

本文提出了一个新的分组密码算法-Ballet算法.该算法共有三个版本:Ballet-128/128/46、Ballet-128/256/48和Ballet-256/256/74.所有版本采用相同的轮函数,无S盒和复杂线性层,仅由模加、异或和循环移位操作组成,即ARX结构算法.因而本算... 本文提出了一个新的分组密码算法-Ballet算法.该算法共有三个版本:Ballet-128/128/46、Ballet-128/256/48和Ballet-256/256/74.所有版本采用相同的轮函数,无S盒和复杂线性层,仅由模加、异或和循环移位操作组成,即ARX结构算法.因而本算法灵活性和延展性强,并能够轻量化实现.除此之外,Ballet算法在Lai-Massey结构的基础上进行简化设计而成,并采用4分支的近似对称ARX结构,利于软件实现.其在32位和64位平台环境下均有很好的表现,即使在采用单路实现方式下依然具有很大的优势.在安全性方面,Ballet算法能够抵抗现有的差分分析和线性分析等已知攻击方法,且因采用ARX结构,无S盒的使用,防护侧信道攻击的代价小. 展开更多

关键词 分组密码算法 ARX结构 简化Lai-Massey结构 软件实现友好 安全

在线阅读 下载PDF 职称材料

ANT系列分组密码算法 被引量：4

19

作者 陈师尧 樊燕红 +2 位作者 付勇 黄鲁宁 王美琴 《密码学报》 CSCD 2019年第6期748-759,共12页

我们设计了一款新的系列分组密码算法-ANT,其包含3个版本,根据分组长度/密钥长度可以分别记为ANT-128/128、ANT-128/256和ANT-256/256.ANT算法采用了经典的Feistel结构,轮函数采用比特级的设计,仅包含与操作,循环移位操作和异或操作(AND... 我们设计了一款新的系列分组密码算法-ANT,其包含3个版本,根据分组长度/密钥长度可以分别记为ANT-128/128、ANT-128/256和ANT-256/256.ANT算法采用了经典的Feistel结构,轮函数采用比特级的设计,仅包含与操作,循环移位操作和异或操作(AND-Rotation-XOR).结合Expand-then-compress的设计思想,使ANT算法达到了较好的扩散速度.得益于精心构造的比特级轮函数,在保证算法达到较高安全性的同时,还具有出色的硬件性能,非常适合轻量级实现.在硬件实现环境(HJTC110 nm标准元件库)下,ANT-128/128加解密基于轮实现的硬件面积仅为3220 GE.而轮函数仅采用与操作作为非线性操作,相比传统的S盒算法,ANT算法在侧信道防护实现上更具优势.在软件方面,ANT算法在设计过程中就充分考虑到bitslice的实现速率.测试结果也表明,ANT算法具有出色的多路软件性能.针对现有常见的攻击方法,我们对ANT算法进行了全面的安全性分析,分析结果表明ANT系列算法各个版本均具有较高的安全冗余. 展开更多

关键词 轻量级分组密码 FEISTEL结构 AND-Rotation-XOR操作 吞面比 bitslice实现

在线阅读 下载PDF 职称材料

Raindrop:面向硬件设计的分组密码算法 被引量：3

20

作者 李永清 李木舟 +3 位作者 付勇 樊燕红 黄鲁宁 王美琴 《密码学报》 CSCD 2019年第6期803-814,共12页

我们设计了一个新的分组密码算法-Raindrop分组密码算法.Raindrop算法共有Raindrop-128/128/60、Raindrop-128/256/80和Raindrop-256/256/100三个版本.Raindrop算法整体采用Feistel结构,保证加解密的一致性.轮函数采用S盒代换、行混合... 我们设计了一个新的分组密码算法-Raindrop分组密码算法.Raindrop算法共有Raindrop-128/128/60、Raindrop-128/256/80和Raindrop-256/256/100三个版本.Raindrop算法整体采用Feistel结构,保证加解密的一致性.轮函数采用S盒代换、行混合、列循环移位操作.S盒由Keccak函数非线性运算的布尔表达式生成;行混合操作中使用了深度为1的4×4二元域矩阵;密钥生成算法采用异或数较少的线性操作;通过采用简单的非线性层、线性层及密钥生成算法,使得Raindrop分组算法在硬件实现上具有较好的优势.在安全方面,我们利用自动化工具STP对Raindrop分组算法进行评估,评估结果显示,Raindrop算法可以有效地抵抗差分攻击和线性攻击等已知攻击方法. 展开更多

关键词 分组密码算法 FEISTEL结构 面向硬件设计 安全分析

在线阅读 下载PDF 职称材料