基于Gadget采样的格密码陷门的设计与实现_.pdf

中文摘要

随着量子计算技术的不断发展，传统密码学方案已经显露出对未来可能出现的

量子计算攻击的脆弱性。在这一背景下，格密码因其潜在的量子安全性而被认为是

最具竞争力的替代方案之一。陷门作为格密码中的核心组件，尤其是基于Gadget

采样的陷门在构建格密码方案中扮演着重要角色。

基于Gadget采样的陷门被表示为一种映射关系，其核心是在一个具有特殊结构

的矩阵上进行的Gadget采样算法，具有简单性和易于并行化的优点。目前已有两种

高效的Gadget采样算法：GM18Sample和HJ19Sample被相继提出。然而，由于

GM18Sample严重依赖基于拒绝采样的整数离散高斯采样器(SampleZ)，导致在实

际应用中面临性能瓶颈。尽管后续提出的HJ19Sample在调用SampleZ方面表现出

显著优势，但其输出呈现非球形高斯分布，制约了格密码陷门的实现效率。鉴此，

为解决上述问题，本文设计并实现了一种简单高效的基于Gadget采样的格密码陷门。

首先，本文充分利用HJ19Sample算法过程中离散高斯分布具有整数中心、固

定标准差的特点，设计了一种基于查找反向累积分布表的离散高斯采样器，称为

SampleRCDT。该采样器将所有可能输出结果的概率预先计算并保存，使得采样过

程只需要生成一次随机数再查表返回结果即可。实验结果表明，和基于拒绝采样的

方法相比，SampleRCDT的性能提升了9.2倍。

其次，针对HJ19Sample输出的分布不是球形高斯的问题，本文设计了一种带

有扰动的Gadget采样算法，称为PGSample。该算法可以分为在线和离线两个阶段：

在线阶段PGSample-Online以调用先进的SampleRCDT作为主要步骤；离线阶段

PGSample-Offline利用连续高斯分布，并通过引入一个可预计算的具有互补协方差

的扰动向量，矫正了HJ19Sample的非球形高斯输出。复杂度分析表明PGSample

算法显著优于同样输出球形高斯分布的GM18Sample算法，且前者的实际性能相较

于后者提升了44.9%。

最后，本文实现了一种基于PGSample算法的格密码陷门并将其应用于数字签

名方案。对于不同参数集，本文签名方案的总体性能优于目前使用GM18Sample的

签名方案，实验结果显示性能提升了43.3%—46.8%；本文签名的在线阶段，即

PGSample-Online算法，性能提升了5.5—6.2倍，且运行时间仅占签名算法的8.2%

—9.1%，这为分布式密码系统和计算受限的设备提供了更加实用和灵活的解决思路。

关键词：格密码；数字签名；Gadget采样；离散高斯分布

I

Abstract

Withtheongoingdevelopmentofquantumcomputingtechnologies,the

vulnerabilityoftraditionalcryptographicschemestopossiblefuturequantumattackshas

beenrevealed.Lattice-basedcryptographyhasbeenconsideredasoneofthemost

competitivealternativesduetoitspotentialquantumsecurity.Trapdoorsplayacrucial

roleintheconstructionofcryptographicschemes,especiallytrapdoorsbasedongadget

sampling,whicharethecor