基于QC-MDPC码公钥密码方案下反应攻击的对策.docxVIP

基于QC-MDPC码公钥密码方案下反应攻击的对策 摘要：基于中密度准循环奇偶校验码(QC-MDPC)的McEliece公钥密码方案已被验证具有良好的性能特征，其密钥量较少、算法复杂度较低。但目前存在一种密钥恢复攻击对该方案的安全性产生威胁，攻击者利用特定的错误图样生成密文并进行发送，来获取接收者译码是否成功的反应，从而破译出该方案的私钥。为应对此反应攻击，提出了可能的解决方案。该方案将差错控制理论中的自动重传请求(ARQ)与伪随机序列结合，消除了反馈信息的有效性。仿真结果表明，提出的方案能有效抵抗此攻击。最后对提出的方案与各类抗击方案进行了比较，并分析了其未来改进方向。 0 引言自Google宣布实现量子霸权后，便意味着量子计算机的计算能力已远远超过了所有传统计算机。面对如此惊人的发展速度，后量子密码学的研究也必须要加紧脚步。2016年，美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)开始了后量子密码算法的征集最早的Mc Eliece方案是采用Goppa码构造，其主要的缺点在于密钥长度过大，因此构造具有一定安全性且密钥量较小的变形方案是研究学者们不断探索的。2007年，Baldi等人对于Mc Eliece类型的公钥方案，具有威胁性的攻击为译码攻击和结构攻击。译码攻击是直接破解得到明文，结构攻击则是破解方案的私钥。这两类攻击对于QC-LDPC码构造的方案来说，具体为译码攻击利用信息集译码算法来实施，结构攻击是找寻原码对偶码低重量码字2016年，文献1 预备知识1.1 公钥密码体制的安全性主要的加密安全目标如下:a)不可区分性(indistinguishability,IND)。攻击者随机选择两个明文mb)语义安全性(semantic security,SEM)。攻击者在知道某个密文c的前提下，能获得相关明文m的信息量不比不知道该密文c时的多，除了m的码长信息。c)不可展性(non-malleability,NM)。攻击者无法以一个不可忽略的概率将一个密文cd)明文可意识性(plaintext awareness,PA)。攻击者无法以一个不可忽略的概率在不知道明文m的前提下构造出相应的密文c。主要的攻击模型如下:a)选择明文攻击(chosen plaintext attack,CPA)。攻击者拥有对加密机的访问权限，即可利用公钥P来给任意明文m加密得到密文c。b)非适应性选择密文攻击(non-adaptive chosen ciphertext attack,CCA1)。攻击者一开始拥有对解密机的访问权限，即可利用私钥S来给一些密文c解密。一旦攻击者用目标密文cc)适应性选择密文攻击(adaptive chosen ciphertext attack,CCA2)。攻击者始终拥有对解密机的访问权限，即无论目标密文c公钥密码体制的基本要求是达到CPA安全级别。因为公钥P是公开的，所以现有的大多数公钥密码体制都能实现CPA安全级别，即对IND-CPA是安全的。但要实现对IND-CCA2的安全，大部分的公钥密码体制是达不到的，IND-CCA2同时也被认定是公钥密码体制最高安全级别。1.2 基于QC-MDPC码的公钥密码方案中密度准循环奇偶校验(QC-MDPC)码是采用准循环形式的密度相对更高的LDPC码，其定义是关于该码的校验矩阵H。相关参数(n,k,w,t)分别为n表示码的长度，也是校验矩阵H的列数;k(kn)表示码的维度，同时r=n-k表示码的余维度，也是校验矩阵H的行数;w表示校验矩阵H的固定行重量;t表示码的纠错能力。QC-MDPC码的准循环结构奇偶校验矩阵H其中:H2013年，Misoczki等人其中:n=n获得校验矩阵H和生成矩阵G，便能构造QC-MDPC码的Mc Eliece公钥密码方案，步骤如下:a)密钥生成。生成一个能纠t个错误的(n,k,w)-QC-MDPC码的校验矩阵H,H∈Fb)加密。给定一个明文m，一个重量w(e)≤t的噪声向量e，密文通过如下过程得到c←m G+e。c)解密。令φ最后从m G中前k个位置中提取明文m。1.3 比特翻转算法1962年，文献2 反映攻击:密钥恢复攻击2.1 攻击情景与基本描述2016年，文献根据该攻击的情景特点，其具体实现可概括为以下三点:a)利用公钥G来重构出私钥H，实际上是重构一个向量hb)攻击者仅对传输时特定错误图样e产生译码失败的情况感兴趣。假设方案的相关参数为n=2r=2n，即n在攻击过程中，假设Eve向Bob发送M个消息，采用e∈φc)特定