1.本发明的实施方式涉及一种在主机与设备之间进行与安全相关的通信的方法。
背景技术:
2.各种互联网和行业标准都使用基于rsa或椭圆曲线密码术(ecc)的非对称密码术来保护智能卡、智能电话、计算机、服务器或工业控制系统之间的数据通信。作为示例,利用rsa算法,可以实现公共密钥加密(pke)方案,该方案允许向接收者发送加密的电子邮件(例如,利用pgp/gpg或s/mime),而无需先经由安全通道交换对称密钥。相反,接收者的公共密钥足以实现机密性。
3.非对称密码术的其他应用是也基于rsa或ecc的数字签名。它们可用于签名和验证数据,公共密钥用于检查签名的有效性。
4.pke和数字签名一起在传输层安全性(tls)协议中至关重要,传输层安全性(tls)协议是互联网上安全通信的基础并被浏览器、智能电话和iot(物联网)设备所使用。tls在两个设备之间建立安全通道,其中,通信被加密,针对操纵进行检查,并且其中使用通过公共密钥基础设施(pki)提供的数字证书来验证参与者的身份。当使用https而不是http连接到例如银行的网站时,浏览器将使用tls。通常,可以显示绿色锁和其他信息,以示出与银行网站的通信正在运行并且可以防止所谓的中间人攻击,如果没有这种基于pki的身份检查与强大的数据加密相结合,攻击者就有可能操纵通信并假冒所访问的网站。
技术实现要素:
5.目的是改善现有的解决方案,特别是改善现有的验证概念。
6.本文所提出的示例可以特别地基于以下解决方案中的至少一种解决方案。可以利用以下特征的组合来达到期望的结果。该方法的特征可以与设备、装置或系统的任何特征组合,反之亦然。
7.提出了一种用于提供响应的方法,其中,该方法包括:
8.–
从主机获得挑战(challenge),
9.–
基于挑战确定响应,
10.–
基于响应或挑战确定辅助值,
11.–
向主机提供辅助值,
12.–
从主机获得随机性,
13.–
基于随机性检查挑战的有效性,
14.–
仅在挑战有效时,向主机提供响应。
15.随机性可以包括真实随机性、伪随机性或确定性特征中至少之一。
16.所描述的方法具有提供针对攻击,特别是由量子计算机进行的攻击的保护的优点。确定响应可以包括处理秘密密钥。与现有解决方案相比,这种处理是高效的,因此提高了整体性能。这在运行该方法的设备仅具有有限的处理能力时特别适用,这适用于许多附
接到消费品的芯片。
17.所提出的解决方案有效地帮助提高针对侧信道攻击或其他攻击的保护。
18.该方法可以在设备上运行。注意,主机和设备确定两个不同的实体。这样的实体之间的通信可以包括对称或非对称通信。作为示例,主机与设备之间的通信可以包括认证,但是不限于认证或该特定类型的通信。
19.还有一种选择是,两方之间的交互可以包括交互签名,或者该交互可以用于认证数据。
20.根据一个实施方式,响应被配置成使得主机能够验证发起者的有效性。
21.根据一个实施方式,确定响应以及检查挑战的有效性均利用至少一个密码格(cryptographic lattice)运算。
22.根据一个实施方式,基于至少密码运算来确定响应。
23.根据一个实施方式,使用单向函数来确定辅助值。
24.根据一个实施方式,辅助值基于附加值(其在示例中可以称为μ)来被确定,并且其中,附加值被传送到主机。
25.根据一个实施方式,附加值包括以下中至少之一:
26.–
单个值,
27.–
多个值,
28.–
计数器,
29.–
信息,
30.–
任何数据。
31.根据一个实施方式,该方法在安全设备上使用或者用于操作安全设备,其中,这样的安全设备包括以下中至少之一:
32.–
集成电路,
33.–
硬件安全模块,
34.–
可信平台模块,
35.–
密码单元,
36.–
fpga,
37.–
处理单元,
38.–
控制器,
39.–
智能卡。
40.另外,提出了一种用于认证设备的方法,该方法包括:
41.–
基于随机性确定挑战,
42.–
向设备提供挑战,
43.–
从设备获得辅助值,
44.–
向设备提供随机性,
45.–
从设备获得响应,
46.–
如果响应与辅助值对应,则认证设备。
47.根据一个实施方式,确定挑战以及认证设备均利用至少一个密码格运算。
48.根据一个实施方式,该方法还包括:
49.–
从设备获得附加值(μ),
50.–
如果响应与辅助值和附加值对应,则认证设备。
51.另外,提出了一种用于向主机认证设备的方法,该方法包括:
52.–
在主机处:
53.–
基于随机性确定挑战,
54.–
向设备提供挑战,
55.–
在设备处:
56.–
从主机获得挑战,
57.–
基于挑战确定响应,
58.–
基于响应或挑战确定辅助值,
59.–
向主机提供辅助值,
60.–
在主机处:
61.–
从设备获得辅助值,
62.–
向设备提供随机性,
63.–
在设备处:
64.–
从主机获得随机性,
65.–
基于随机性检查挑战的有效性,
66.–
仅在挑战有效时,向主机提供响应,
67.–
在主机处:
68.–
从设备获得响应,
69.–
如果响应与辅助值对应,则认证设备。
70.接下来,提出了一种安全设备,该安全设备被布置成执行以下步骤:
71.–
从主机获得挑战,
72.–
基于挑战确定响应,
73.–
基于响应或挑战确定辅助值,
74.–
向主机提供辅助值,
75.–
从主机获得随机性,
76.–
基于随机性检查挑战的有效性,
77.–
仅在挑战有效时,向主机提供响应。
78.另外,提出了一种主机,该主机被布置成执行以下步骤:
79.–
基于随机性确定挑战,
80.–
向设备提供挑战,
81.–
从设备获得辅助值,
82.–
向设备提供随机性,
83.–
从设备获得响应,
84.–
如果响应与辅助值对应,则认证设备。
85.此外,提出了一种消费品,该消费品包括如本文所述的安全设备。
86.根据一个实施方式,系统包括至少一个如本文所述的安全设备。
87.另外,提供了一种计算机程序产品,该计算机程序产品能够直接加载到数字处理
设备的存储器中,该计算机程序产品包括用于执行如本文所述的方法的各步骤的软件代码部分。
附图说明
88.参照附图示出和说明了实施方式。附图用于说明基本原理,因此仅示出了理解基本原理所必需的方面。附图未按比例绘制。在附图中,相同的附图标记表示相似的特征。
89.图1是示出主机与设备之间的通信(协议)的基本图,其中该设备特别地可以是消费品或附接到消费品的电子设备;
90.图2示出了图1的替选实施方式,其中附加值μ是通信的一部分;
91.图3示出了不限于后量子密码学的又一替选实施方式;
92.图4示出了包括cpu、ram、非易失性存储器、密码模块、模拟模块、输入/输出接口和硬件随机数生成器的处理设备的示例性布置;
93.图5示出了具有硬件安全模块(hsm)的替选布置。
具体实施方式
94.本文描述的解决方案适用于经典密码系统以及后量子密码系统。
95.已知基于rsa和ecc的公共密钥可能会受到使用例如量子计算机的成功攻击。
96.量子计算机可以被描述为直接利用量子力学现象来加速处理的计算机。建立量子计算机的关键概念是将状态存储在量子寄存器中的所谓量子位或量子比特(qubit)。这样的量子计算机可以用来成功地破解在这样的处理能力可用之前被认为足够安全的密码学概念。
97.因此,总的动机是从经典的非对称密码系统(rsa/ecc)转向无法被量子计算机成功攻击的方案。因此,需要用于签名方案、密钥交换和公共密钥加密的新的解决方案,这些解决方案不基于与rsa和ecc相同的基础(即离散对数问题/因数)。对新的技术解决方案的这种需求已经被研究替选加密系统的标准化机构诸如nist(美国国家标准技术研究院)所认可。
98.密码系统可以是密码公共密钥加密、密钥交换或签名方案,或者可以是高级方案,例如同态加密或基于属性的加密。在公共密钥加密中,使用非秘密公共密钥加密数据,该数据只能用关联的秘密密钥解密。在签名方案中,使用秘密密钥对消息进行签名,并且可以使用关联的公共密钥来验证签名者是否拥有秘密密钥并因此被授权产生签名。密钥交换或密钥建立是一种交互式协议,其中,两方建立秘密密钥,该秘密密钥对于被动的或有时是主动的对手或窃听者而言是未知的。同样,可以使用不同的选项以将公共密钥加密、密钥交换或签名方案组合到协议中,例如传输层安全性(tls)。
99.被认为能抵抗量子计算机的攻击的一种方案是基于格的密码系统。基于格的密码系统可能会成为rsa和ecc的后继者,并且可以在大型矩阵(标准格)或多项式环(理想格)上运行。对于基于格的密码术,参考例如https://en.wikipedia.org/wiki/lattice
‑
based_cryptography。
100.格(lattice)是由基本向量的整数线性组合创建的结构。因此,可以将格描述为n维空间中的规则结构。同样,可以将格视为具有规则结构的欧几里得空间中的点的布置。给
定n个线性独立的向量由它们生成的格被定义为:
[0101][0102]
其中,
[0103]
–
b1,
…
,b
n
是格的基础,并且
[0104]
–
来自的元素是具有来自的m个条目的向量。
[0105]
在格(即n维空间)中,某些基本问题(例如找到短基或短向量)被认为在计算上较困难,或者至少相当复杂而无法将其用于加密。通常,破解基于格的密码系统的难度可以被降低,或者与解决这种基本问题的难度有关。基于格的密码术或基于格的密码系统是其安全性基于格中某些数学上困难的问题的难度或与该难度有关的密码系统。
[0106]
格可以用于构造密码系统。参考用户友好的有错误学习(lwe)问题和环形lwe(rlwe)问题,还已知基于格的密码术。在这种背景下,“问题”是指下述的数学问题(例如,找到某物),该数学问题被认为难以解决(即,没有可用的多项式时间算法)但也能够构造密码方案(例如,类似rsa的因数分解问题或ecc的离散对数)。
[0107]
通常,为了解决lwe问题,当给出关于秘密向量s的近似随机的线性方程组时,需要在模q整数环上恢复秘密向量s。因此,线性方程组由于一定量的随机性而失真,这使得已知算法难以求解该方程组。
[0108]
因此,lwe和rlwe问题允许构建方案设计者无法真正实际看到格结构的方案。然而,当证实基于lwe/rlwe的方案的安全性时,在试图解决lwe或rlwe问题时也使用格结构,因为格算法是找到秘密向量或多项式s的有效方法。这也描述为解决“格问题”。rlwe问题在多项式环上运行,并支持安全性降低到理想格上的难度问题,而lwe则能够降低至任意格。理想的格携带更多的结构,虽然并非所有的格都是理想的格,但也能够设计利用更实用的公共密钥、密文和签名长度的方案。
[0109]
基于格的密码术的突出示例是所谓的ntru和ntru签名方案以及所谓的ggh(goldreich
–
goldwasser
–
halevi,参见例如https://en.wikipedia.org/wiki/ggh_encryption_scheme)方案。对于大多数方案,从公共密钥加密到密钥交换的转换是微不足道的。另外,对于pke,可以使用标准转换来实现各种安全级别,例如针对自适应选择的明文攻击(cpa)的语义安全或针对自适应选择的密文攻击(cca)的语义安全。
[0110]
这已经针对newhope方案示例性地被示出,该newhope方案也可以实例化为cpa
‑
安全或cca
‑
安全pke[newhopenist17]。newhope
‑
simple和其他方案是被称为lpr10的方案的直接调整(参见[newhopesimplepapereprint16])。基于格的签名方案的示例是dilithium、bliss、glp12和qtesla(参见例如https://csrc.nist.gov/projects/post
‑
quantum
‑
cryptography/round
‑1‑
submissions)。
[0111]
关于基于格的密码术的技术挑战
[0112]
当在计算机、微控制器、集成电路上、在硬件软件协同设计中或作为固定的电路实现基于格的密码术以及基于格的密码系统时,在执行密码操作(例如,签名、加密、解密、验证,密钥生成)时出现多个技术挑战。
[0113]
在本领域出现的这样的技术挑战的示例为:
[0114]
–
通过使用经特别优化的操作序列并使用可用目标硬件的所有特征(特殊寄存器
或指令)来执行密码系统的步骤,从而实现提高的性能。
[0115]
–
使用最少量的易失性或非易失性存储器执行密码运算。
[0116]
–
在给定性能目标的情况下,以最少量的逻辑电路和存储单元(例如,由cmos工艺形成)实现密码运算或其部分。
[0117]
–
针对实施攻击(也称为物理攻击、天文台攻击(observatory attack)、侵入式和半侵入式攻击)的有效且全面的保护。
[0118]
注意,针对实施攻击和/或物理攻击的保护对于在安全控制器上或在任何不利环境(例如,硬件安全模块,hsm)中执行的密码系统特别有利。
[0119]
可能的攻击是边信道攻击,其中,攻击者试图通过观察设备的物理行为,如功耗(例如,简单或差分功率分析(spa/dpa))、电辐射或温度来获得秘密信息。此外,在攻击者试图在执行流或数据中引入干扰(例如,利用激光器)以获得秘密信息或影响设备行为的情况下,故障攻击是可行的。
[0120]
实施攻击的特征是:这种攻击不利用方案的数学描述中的弱点(这会被视为密码分析),而是以在特定设备上实现方案的方式。通常,在执行实施攻击时,对手被认为可以访问设备。
[0121]
通常,如智能卡的设备以下述方式构造:物理效应(例如,功耗或辐射)被伪装以使其难以获得安全性关键资产。对抗物理攻击的常用方法是针对随机化的值执行以防止侵入式和非侵入式攻击,这些攻击旨在达到从设备中提取秘密密钥或中间值的目的。但是,以有效的方式实现这种随机化或冗余而又不增加另外的攻击机会是一个技术挑战。
[0122]
符号和缩写
[0123]
特别地,使用以下符号、缩写和参考:
[0124]
q是整数,
[0125]
k是整数,
[0126]
n是整数,
[0127]
mod q是在结果在[0,q
‑
1]范围内的整数上定义的模q模运算,
[0128]
z是整数(写成无小数部分的数字),对于“数字”的定义,参考https://en.wikipedia.org/wiki/number;对于“小数部分”的定义,参考https://en.wikipedia.org/wiki/fraction_(mathematics),
[0129]
是实数(可以表示沿线的距离的连续量的值),
[0130]
z
q
是模q整数环,它是整数模q的等价类的商环z/qz,
[0131]
x是不确定的,
[0132]
f是整数n的最大次数的多项式,
[0133]
r=z[x]/(f)是整数多项式模f的环;元素v∈z[x]/(f)可以通过小于整数n的次数的整数多项式表示,或者替选地可以表示为系数v∈z
n
的向量,
[0134]
r
q
=z
q
[x]/(f)是多项式f和整数q两者的模的整数多项式的环;元素v∈z
q
[x]/(f)可以由具有系数减小的模q的小于n的次数的整数多项式表示,或者替选地可以表示为系数向量
[0135]
v∈r
q
是作为r
q
中的元素的多项式(以粗体显示),
[0136]
v[i]是位置i处的向量或多项式v∈r
q
的系数,
[0137]
θ是误差分布,
[0138]
←
$
是从集合或分布中的随机采样,
[0139]
d
z,σ
是具有标准偏差σ的整数上的离散高斯分布,
[0140]
ψ
k
是具有整数参数k的二项式分布,
[0141]
u()是均匀分布,
[0142]
1001
b
是二进制表示形式的数字,例如,1001
b
=9,
[0143]
u(r
q,k
)是r
q
中的多项式的均匀随机采样,其中,所有系数是[
‑
k,k]中的均匀随机数,
[0144]
fft是快速傅立叶变换,
[0145]
ntt是数论变换,
[0146]
dpa是差分功率分析,
[0147]
spa是简单功率分析,
[0148]
alu是算术逻辑单元,
[0149]
pke是公共密钥加密,
[0150]
kem是密钥封装机制,
[0151]
cca是选择的密文攻击,
[0152]
cpa是选择的明文攻击,
[0153]
ind是不可区分性。
[0154]
商环是抽象代数中的结构。详细信息参考例如https://en.wikipedia.org/wiki/quotient_ring。
[0155]
理想格和多项式算法
[0156]
当前,存在两种基于格的密码术,即基于理想格的密码术和基于标准格的密码术。中间观点是将来自理想格和标准格的概念混合的所谓的基于模块化格的密码术。参考例如[newhopenist17]。
[0157]
基于理想格的密码术的基本运算是商环中的多项式乘法、加法或减法
[0158]
r
q
=z
q
[x]/(f),
[0159]
其中,模q是整数,并且维数(系数的数目)是整数n。多项式a∈r
q
可以表示为值的数组,并且可以访问整数位置i处的单个值a[i]。基于格的密码系统方案中的所有主要计算都可以在模q的值的数组上执行。
[0160]
对于商环,可以定义如加法和乘法之类的运算。加法c=a b,a,b,c∈r
q
,可以被定义为:
[0161][0162]
其中,i是整数,q是整数,a[i]是a的第i个系数,b[i]是b的第i个系数,x是不确定的。减法c=a
‑
b以相同的方式运行,其中“ ”被替换为
“‑”
。
[0163]
也可以计算多项式a,b,c∈r
q
的乘积c=a
·
b。它被定义为普通多项式乘法(有时也称为“教科书”乘法),然后进行多项式f的规约求模和整数q的规约求模,即:
[0164][0165]
多项式乘法的公式可以通过考虑以下特殊规则来简化:当f=x
n
1时,x
n
≡
‑
1,但是也可以相应地使用类似的多项式:
[0166][0167]
其中,i和j是整数,q是整数,a[i]是a的第i个系数,b[j]是b的第j个系数,x是不确定的。
[0168]
稀疏乘法
[0169]
通过利用多项式特定属性的算法可以获得多项式算法的效率。作为示例,多项式s∈r
q
可能仅具有很少的非零系数,它也可能仅由作为一或负一的系数组成,或者它通常可能具有较小的系数。而且,它可以表现出这些特性的组合。
[0170]
数论变换(ntt)
[0171]
遵循此公式的实现将需要n2次模乘,因此将会非常昂贵。
[0172]
快速多项式乘法的另一种方法是数论变换(ntt)。ntt基本上是在有限域或环上定义的快速傅立叶变换(fft)。因此,将fft的所有的复单位根都交换为整数单位根,并且在以整数q为模的整数环中进行计算。使用ntt的针对a,b,c∈r
q
的多项式乘法可以计算为:
[0173][0174]
其中,表示按系数(coefficient
‑
wise)乘法,是多项式a的变换,是多项式b的变换,并且ntt
‑1()是逆变换。按系数乘法可以被定义为:
[0175][0176]
ntt的优点是,当使用高效算法时,多项式乘法运算仅需要大致nlog
2 n次模乘,并且归约模
[0177]
f=x
n
1
[0178]
(所谓的圆形卷积特性)或归约模
[0179]
f=x
n
‑1[0180]
可以结合到ntt算法中。因此,n点ntt与n系数多项式一起使用就够了。
[0181]
为了正式引入ntt,可能会限制参数的选择;另外,可以设置以下内容以使ntt存在:
[0182]
f=x
n
1
[0183]
以及
[0184]
q≡1mod 2n。
[0185]
另外,多项式可以被定义如下:
[0186][0187]
使得:
[0188][0189]
其中:
[0190][0191]
其中,整数ω是模q的第2n个本原单位根(primitive root of unity),并且整数因此,γ是模q的ω的平方根。
[0192]
逆变换类似地实现。对于多项式可以定义为:
[0193][0194]
其中:
[0195][0196]
利用先前给定的定义对ntt的直接计算具有二次复杂度,并且并不比教科书方法更有效。因此,为了使用卷积定理实现快速多项式乘法,需要用于计算ntt的快速算法。这可以例如通过cooley
‑
tukey基数2的时间抽取(dit)算法(参见例如https://en.wikipedia.org/wiki/cooley%e2%80%93tukey_fft_algorithm)或通过频率抽取(dif)算法,通过在z
q
中利用o(n log n)运算的ntt的实现来达到。dit ntt算法以递归方式将计算分为关于ntt的偶数输入的子问题和关于ntt的奇数输入的子问题。
[0197]
随机性和随机抽样
[0198]
a
←
$
s表示从某个集合s或特定分布s中随机地、独立且均匀地选择变量a的动作。
[0199]
注意,就这一点而言,“随机”或“均匀”(例如,随机选择或任意随机值)可以是用于获得值的真随机、伪随机或确定性方法。因此,根据本文所提供的方案的这种“随机性”或任何随机效应的性质可能是攻击者不知道该值并且这些值对于至少一部分运算而言是不同的。随机性特别地在“随机地”确定,例如生成和/或选择的值之间增加一定级别的熵。
[0200]
对于有限集合s,在集合s的均匀分布可以被称为u(s)。标记a
←
$
u(r
q,k
)可以指示a∈r
q
的均匀随机采样,其中a的所有系数都是[
‑
k,k]。
[0201]
对于r上的概率分布χ,假定有效采样是可行的,并使用标记a
←
$
χ表示从概率分布χ中的a∈r的随机采样。
[0202]
秘密噪声或误差向量的采样是基于格的公共密钥加密(pke)、密钥交换或签名方案中的基本任务。这种噪声或误差向量的特定属性是它们通常很小(即,具有接近于零的系
数)。
[0203]
在整数上的均值为0且标准偏差σ>0的离散高斯分布d
z,σ
将概率ρ
σ
(x)/ρ
σ
(z)与x∈z相关联,且
[0204]
因此,a
←
$
d
z,σ
表示对根据离散高斯分布d
z,σ
的值d∈z进行随机采样的处理,并且表示对系数独立且根据离散高斯分布d
z,σ
进行分布的n维多项式a∈r
q
进行随机采样的处理。
[0205]
可以使用累积分布函数(cdf)或累积分布表(cdt)或通过(例如,高精度)计算来实现产生根据离散高斯分布的值的采样器。
[0206]
密码方案的执行通常需要针对每个密码运算的来自噪声或误差分布的512到4096个样本。
[0207]
可以用于采样目的的示例性分布是二项式分布ψ
k
。来自该二项式分布ψ
k
的样本可以通过计算如下公式来生成:
[0208][0209]
其中,b
i
,b
′
i
∈{0,1}是随机位。
[0210]
因此,a
←
$
ψ
k
表示对根据二项式分布ψ
k
的值d∈z进行随机采样的处理。
[0211]
此外,表示对n维的多项式a∈r
q
进行随机采样的处理,其中,系数是独立的并且根据二项式分布ψ
k
进行分布。
[0212]
二项式分布的标准偏差为方差等于k/2。从二项式分布ψ
k
中采样的替选方法是计算如下公式:
[0213][0214]
其中,b
i
∈{0,1}是随机位。
[0215]
可以根据[newhopepapereprint16]实现二项式分布的采样器。一个示例是获得两个长度均为k的随机位串v1,v2,以计算整数汉明权重h1=hw(v1)并且h2=hw(v2),,然后将h1‑
h2确定为这样的采样器的输出。
[0216]
符号,补充说明
[0217]
基于理想格的密码术中的基本运算是商环r
q
=z
q
[x]/(f)中的多项式乘法、加法或减法,其中模q是整数,维数(系数的数目)是整数n。
[0218]
a
←
$
u(r
q,k
)表示对变量a∈r
q
的均匀随机采样,其中,变量a的系数属于区间[
‑
k,k]。
[0219]
a
←
$
χ
n
表示对变量a∈r
q
的随机采样,其中,系数是独立的并且遵循概率分布χ。概率分布χ的示例性实例可以是离散的高斯分布d
z,σ
。
[0220]
函数s=sample
χ
(seed,nonce)输出根据概率分布χ进行分布的多项式s,其中,多
项式s的系数确定性地取决于变量seed和nonce。
[0221]
值nonce可以解释为所谓的域分隔符,以便函数sample
χ
可以与相同的值seed一起使用以生成不同的多项式。根据示例,值seed是秘密并且值nonce是公开已知的。作为选择,值nonce也可以视为秘密。
[0222]
另外,单向函数(例如,散列函数)是该函数的一部分,因此在值被用于生成用于从概率分布χ中进行采样的伪随机位之前被应用于变量seed和nonce。实例化可以是根据如在https://newhopecrypto.org/data/newhope_2019_07_10.pdf中描述的算法4。
[0223]
h=hash(v)被定义为密码哈希函数,其中多项式v∈r
q
作为输入并且二进制哈希h作为输出。哈希函数的示例是sha
‑
2或sha
‑
3哈希函数。可以将多个元素输入到密码哈希函数。例如,标记hash(a,b,c)或hash(a||b||c)可以用于指示元素a、b和c输入到哈希函数hash。
[0224]
变量a∈r
q
的绝对和定义为||a||,其中,将绝对和应用于变量a的每个单独系数。
[0225]
如果a的每个系数的绝对和小于整数β,则该表达式||a||<β为真。
[0226]
示例性实现
[0227]
图1示出了说明主机与设备之间的通信(协议)的基本图,其中,设备特别地可以是消耗品或附接至消耗品的电子设备。通信协议特别地可以用于向主机认证设备,或者换句话说,设备向主机显示它知道与主机使用的公共密钥相关联的秘密密钥。
[0228]
在设置期间,生成固定的均匀随机全局常数a:
[0229]
a
←
$
u(r
q,k
)
[0230]
此外,密钥生成如下进行:
[0231]
确定多项式s,e
←
$
χ
n
。
[0232]
挑选随机数α来确定值w的位数。
[0233]
确定私钥s∈r
q
和值w。两者都被视为是秘密的。
[0234]
公共密钥t被确定为
[0235]
t=a
·
s e∈r
q
。
[0236]
图1示出了主机101与设备102之间的通信。主机101具有公共密钥t∈r
q
,并且设备102具有私钥s∈r
q
以及秘密值w,秘密值w是α位长。秘密密钥s和秘密值w是通常保留在设备102中并且不与设备102外部的实体共享的秘密。
[0237]
主机101可以挑选α位长度的随机值λ。随机值λ也称为随机性或种子。
[0238]
此外,主机确定多项式u,z∈r
q
如下:
[0239]
u
←
sample
χ
(λ,0)
[0240]
z
←
sample
χ
(λ,1)
[0241]
挑战c因而被计算为
[0242]
c=a
·
u z
[0243]
挑战c从主机101发送到设备102。
[0244]
设备102可以存储接收到的挑战c并计算中间结果b为
[0245]
b=sample
χ
(hash(c),w)。
[0246]
基于中间结果b、秘密密钥s和挑战c,响应r被确定为
[0247]
r=s
·
c b。
[0248]
接下来,基于响应r确定哈希值h作为辅助值:
[0249]
h=hash(r)。
[0250]
哈希值h作为辅助值从设备102发送到主机101。
[0251]
注意,存储挑战s、计算响应r和哈希值h可能是由设备102进行的唯一秘密密钥操作。
[0252]
主机101存储哈希值h并将随机值λ发送至设备102。
[0253]
然后,设备102将多项式u
′
,z
′
∈r
q
确定为
[0254]
u
′←
sample
χ
(λ,0)
[0255]
z
′←
sample
χ
(λ,1)
[0256]
以及确定挑战c
′
为
[0257]
c
′
=a
·
u
′
z
′
。
[0258]
然后,仅当在设备102处本地确定的挑战c
′
对应于从主机101获得的挑战c时,例如,如果
[0259]
c
′
=c
[0260]
响应r才从设备102发送至主机101。
[0261]
否则,触发预定义的动作,例如中止、警报和/或通知。
[0262]
如果主机101接收到响应r,则基于公共密钥t和先前确定的多项式u来确定检查值v:
[0263]
v=t
·
u。
[0264]
接下来,主机101基于响应r确定哈希值h
′
:
[0265]
h
′
=hash(r)。
[0266]
如果
[0267]
||v
‑
r||<β
[0268]
并且如果
[0269]
h
′
=h
[0270]
适用于整数β,则响应r被主机101接受。在这种情况下,设备102已经被主机101成功认证。
[0271]
所提供的协议之所以有效,是因为以下等式适用:
[0272]
v=t
·
u=(a
·
s e)
·
u=asu eu;
[0273]
r=sc b=c=s
·
(a
·
u z) b=asu zs b。
[0274]
v与r之间的差是
[0275]
v
‑
r=eu
‑
zs
‑
b。
[0276]
项
[0277]
eu
‑
zs
‑
b
[0278]
仅包含取自小分布χ
n
的多项式。
[0279]
利用适当的参数,例如,n=256,q=7681,并且χ
n
是标准偏差大致为以下的离散高斯或二项式分布
[0280]
σ=3,
[0281]
可以确定位的数目
[0282]
α=128
[0283]
和边界
[0284]
β=500。
[0285]
此外,可以修改协议,使得接受一些大于边界β的系数。
[0286]
安全性
[0287]
如果挑战c遵循均匀随机分布,则响应r是rlwe样本。因此,攻击者必须破解rwle,以便从响应r中获取秘密密钥s。
[0288]
公共密钥t=a
·
s e∈r
q
也是rlwe样本,并且攻击者必须破解rwle,以便从公共密钥t中获得秘密密钥s。
[0289]
然而,确保挑战c遵循均匀随机分布可能并不容易。在没有本文描述的解决方案的情况下,攻击者可能会发送挑战
[0290]
c=[0,0,0,0,...,1]
[0291]
并且作为回复获得响应
[0292]
r=s b,
[0293]
这将允许攻击者在少量尝试后确定秘密密钥s。
[0294]
本文描述的方法的示例要求主机101以“诚实”的方式生成挑战c的值。通过使用函数
[0295]
sample
χ
(seed,nonce),
[0296]
主机101对导致不同采样的多项式u和z的实际值λ没有任何控制,这进一步影响挑战c的值。
[0297]
因此,主机101只能尝试各种种子值,但是由于种子服从单向函数(例如,哈希函数),因此sample
χ
的输出是伪随机的,导致挑战c相当任意。
[0298]
为了发起有希望的攻击,主机101可能试图通过直接挑选挑战c的值来进行欺骗。然而,这在稍后当主机101需要揭示种子λ的值时被检测到,该值应当已经用于生成多项式u和z。基于随机值λ,设备102能够验证挑战c是否是诚实生成的:设备102执行也应当由主机101使用的采样步骤,并且基于采样步骤的结果确定可以与从主机101获得的挑战c进行比较的挑战c
′
。
[0299]
另一方面,设备102获得挑战c,并且通过发送哈希值h来提交响应r(此时不必检查挑战c)。
[0300]
接下来,主机101可以释放用于生成挑战c所基于的多项式u和z的种子λ。
[0301]
有利地,设备102提交具有哈希值h的响应r。注意,哈希函数只是示例性函数。可以使用任何单向函数。
[0302]
在设备102已经确保从主机101获得的挑战c有效(即,根据协议诚实地生成)之前,设备102不向主机101释放响应r。
[0303]
最后,主机101可以通过测试以下的系数小于预定义的整数阈值β来检查设备102的有效性
[0304]
||v
‑
r||。
[0305]
仅有效的设备102知道秘密密钥s∈r
q
,并且仅使用正确的秘密密钥,绝对值||v
‑
r||将较小,并且项asu将被抵消。
[0306]
替选实施方式:数据的认证
[0307]
图2示出了对交互式签名协议进行可视化的替选实施方式。图2的图基于图1。与图1相反,图2的设备102考虑值μ。
[0308]
值μ可以是单个值、多个值、信息或数据。该值μ在设备102进行的秘密密钥操作中使用。
[0309]
值μ可以是双方都知道的信息。通过对值μ执行秘密密钥相关操作,设备102可以用其秘密密钥对值μ进行交互式签名。这可以向主机101确保特定信息存在于设备102处(例如,在传输之后)或者特定状态是正确的并且被设备102接受。此外,值μ可以是根据另一密码协议交换的数据的哈希值,例如临时密钥交换。设备102然后可以使用本文描述的协议向主机101认证自身,并且显示在先前的密码协议中已经交换了什么数据。这允许主机检测中间人攻击。
[0310]
图2示出了示例性用例,其中,值μ被传送到主机101,并且主机101能够(进一步)处理值μ。
[0311]
主机101能够认证值μ。值μ可以是内部计数器(例如,墨水计数器)或任何状态信息。通过将值μ包括在函数hash(r,μ)中,可以检测在从设备102到主机101的传输期间对值μ的操纵。因此,设备101能够证明其拥有秘密密钥和例如主机101的内部计数器的值。
[0312]
如图2所示,设备102基于值μ和响应r确定哈希值h:
[0313]
h=hash(r,μ)。
[0314]
设备102然后将哈希值h和值μ提供给主机101。主机101存储哈希值h和值μ。
[0315]
在主机101已经接收到响应r之后(如以上关于图1所述),主机101基于响应r和值μ计算哈希值h
′
:
[0316]
h
′
=hash(r,μ)。
[0317]
如果
[0318]
||v
‑
r||<β
[0319]
并且如果
[0320]
h
′
=h
[0321]
适用于整数β,则主机101接受响应r,因此设备102已经被主机101成功认证。
[0322]
然而,一种选择是,在协议完成之前和/或之后单独传送值μ,例如带外传送。有利地,设备102可以将值μ(其可以是或不是秘密的)合并到哈希值h或用于导出哈希值h的任何值中。因此,向主机101提供值μ是设备102已知的或在某个时间点(例如当哈希值h已经被计算时)处存储在设备102处的证据。
[0323]
值μ可以是计数器或状态或任何种类的信息。值μ也可以由主机101提供。特别地,一种选择是,由主机101生成值μ,然后将其传送给设备102。
[0324]
替选实施方式
[0325]
图3以超越格密码术的一般方式总结了相互认证的原理。主机301与设备302通信。主机301可以是打印机,以及设备可以是墨盒302(“消耗品”)。主机和设备的其他示例如下所示。
[0326]
主机301将挑战c计算为随机性λ的函数f1:
[0327]
c=f1(λ)。
[0328]
随机性λ可以是真随机值、伪随机值、根据确定性算法计算的值或预定义值。此外,上述任何一项都可以(部分)用于确定随机性λ。
[0329]
主机301将挑战c传送给设备302。
[0330]
设备将响应计算为挑战c的函数f2:
[0331]
r=f2(c)。
[0332]
此外,设备302使用哈希函数h来基于响应r确定哈希值h1作为辅助值:
[0333]
h1=h(r)。
[0334]
设备302将哈希作为辅助值h1发送给主机301。
[0335]
主机301接收哈希值h1,并且转而将随机性λ发送给设备302。
[0336]
一旦接收到随机性λ,设备302使用函数f1基于随机性λ计算挑战c*:
[0337]
c*=f1(λ)。
[0338]
设备302然后可以将本地计算的挑战c*与从主机301获得的挑战c进行比较。设备302因此可以确定挑战c是否已经被诚实地生成。实现这个的一个示例是确定挑战c和c*是否相同。
[0339]
如果挑战c已经被诚实地生成,则设备302将响应r传送给主机301。
[0340]
基于从设备302获得的响应r,主机301使用哈希函数h来基于响应r计算哈希值h2:
[0341]
h2=h(r)。
[0342]
如果哈希值h2对应于哈希值h1,则主机301能够验证设备302,并且然后可以允许使用设备302。
[0343]
如果主机301是打印机,以及设备302是带有墨粉或墨水的墨盒,则打印机只能在验证成功的情况下使用墨盒。否则,检测到无效设备,并且打印机可能会拒绝使用该无效墨盒。
[0344]
注意,以上指示的函数f1和f2中的每一个可以是或包括以下中的至少一个:抗冲突哈希函数、抗安全原像哈希函数、伪随机函数或单向函数。
[0345]
另外的优点、实施方式和实现
[0346]
注意,本文描述的计算可以通过使用多项式的乘积形式来进行加速。
[0347]
注意,可以使用协议的变化来增加其对攻击的鲁棒性。
[0348]
例如,为了增加保护级别,设备可以对秘密随机值k进行采样,并且计算哈希值
[0349]
h=hash(r,k)
[0350]
其中,响应r的二进制表示通过“,”运算符与秘密随机值k连接。在检查挑战c的有效性之后,设备可以释放响应r和秘密随机值k。然后主机可以检查
[0351]
h
′
=hash(r,k)=h。
[0352]
秘密随机值k与响应r相结合的使用增加了攻击者从哈希值h中提取信息的难度,因为基于秘密随机值k增加了不可预测性。此外,秘密随机值k仅在挑战的有效性被确认之后才被释放。
[0353]
秘密随机值k可以与产生以下哈希值的值μ结合使用
[0354]
h=hash(r,μ,k),
[0355]
其可以相应地被验证。
[0356]
中间结果b(也可以有利地是秘密值)可以如上所述进行计算
[0357]
b=sample
χ
(hash(c),w)
[0358]
或者通过将值w包括到哈希函数中
[0359]
b=sample
χ
(hash(c,w),0)。
[0360]
作为一种选择,值w可以是公知的常数。还有一种选择是,中间结果b的计算基于随机选择的值β:
[0361]
b=sample
χ
(β,0)。
[0362]
还有一种选择是,通过使用所谓的利用舍入的学习假设来提高计算性能。利用舍入的学习(lwr,learning with rounding)原理可以通过用确定性舍入替换随机误差(即,中间结果b)来被应用。安全性不是通过添加噪声/误差向量(例如,中间结果b)来实现的,而是通过释放确定性舍入值来实现的。
[0363]
因此,基于
[0364]
b=sample
χ
(hash(c),w)
[0365]
设备可以通过
[0366][0367]
h=hash(r)
[0368]
来代替以下的计算
[0369]
r=s
·
c b,
[0370]
h=hash(r)。
[0371]
在本文中,指示针对整数p<q和整数v定义的运算(即,舍入函数),其中
[0372][0373]
其中,表示最接近的整数。舍入函数可以逐分量地(component
‑
wise)应用于向量、多项式或矩阵。因此,系数被确定地舍入。
[0374]
在p和q都是2的幂的情况下,舍入函数导致输出v的log(p)最高有效位。利用舍入的学习原理也可以应用在协议的其他部分中,例如,运算
[0375]
c=a
·
u z
[0376]
可以被替换为
[0377][0378]
并且更新检查功能,其中,设备计算
[0379][0380]
协议可以特别地被实例化为利用舍入的学习、利用舍入的模块学习、利用舍入的环学习、利用误差的环学习、利用误差的学习或利用误差或ntru环的模块学习。
[0381]
全局常数a的值可以是公共密钥的一部分,并且因此可以针对每个设备单独生成。可以通过优化检查以下来提高参数的效率或安全性
[0382]
||v
‑
r||<β。
[0383]
例如,主机也可以接受大于或等于β的某个系数的数目η。如果系数的这个数目η较小(即,与维数n相比很小;η的示例性值可以是16),则协议的安全性仍然是足够的。
[0384]
在示例性实现中,设备是一小块硬件(与主机的大小和/或复杂性相比)。还有一种选择是,设备基于具有被共享和/或随机化的数据路径的硬件来计算响应。
[0385]
响应r可以限于位的选择,特别地限于高阶位。该限制可以应用于响应r以及基于响应r确定的哈希值h。
[0386]
可以使用ntt,并且设备可以进行安全的逐点(pointwise)乘法。
[0387]
设备或主机可以是密码引擎或包括密码引擎。
[0388]
密码引擎可以是类似控制器的硬件单元的一部分,或者它可以是单独的硬件单元,以提供密码信息。该密码信息可以是例如签名。
[0389]
密码引擎可以是能够进行至少一个密码操作的密码引擎。
[0390]
密码引擎可以是芯片或芯片的一部分。密码引擎可以附接至所谓的“消耗品”,该“消耗品”向另一实体(也称为外部实体)提供例如签名。
[0391]
在示例性的用例场景中,消耗品可以是设备(被实现为或包括密码引擎),以及外部实体是如上所述的主机。
[0392]
消耗品可以向主机提供一些东西“来进行消耗”。存在针对消耗品和主机的组合的很多示例,例如:
[0393]
–
打印墨盒
–
打印机;
[0394]
–
电池
–
使用电池的设备;
[0395]
–
再装盒
–
电子烟;
[0396]
–
信用卡余额卡
–
预付便携设备(handy);
[0397]
–
咖啡胶囊
–
咖啡机;
[0398]
–
滤盒
–
滤水器;
[0399]
–
医疗用品
–
医疗设备。
[0400]
消耗品可以物理连接至主机。主机可以被配置成认证消耗品,并且主机还可以被配置成仅在认证成功的情况下使用消耗品。
[0401]
还可以有一种选择是,密码引擎附接至设备或设备的一部分,其中,这种设备使用密码引擎用于例如云或网络的认证目的。
[0402]
因此,主机可以使用本文描述的协议来认证消耗品(即,设备)。作为一种选择,可以经由数字证书预先检查公共密钥的真实性。
[0403]
由设备进行的密钥操作可以在软件、硬件或两者的组合中执行。软件可以至少部分存储在嵌入式安全元件或专用硬件模块中。
[0404]
本文描述的认证机制可以特别地利用某种分布来实现安全性。避免了攻击者通过接受他选择的挑战并从设备获得适当的响应来破坏所描述的解决方案。相反,这种挑战不满足本文描述的机制的要求,并且攻击者将因此不会接收到正确的响应,或者攻击者根本不会接收到响应。这是通过该设备进行以下来实现的(i)提交响应的哈希以及(ii)仅当挑战的有效性已被验证时才发送响应。
[0405]
另外的实现示例
[0406]
图4示出了处理设备500,其包括cpu 501、ram 502、非易失性存储器503(nvm)、密
码模块504、模拟模块506、输入/输出接口507和硬件随机数生成器512。
[0407]
在该示例中,cpu 501可以通过共享总线505访问至少一个密码模块504,每个密码模块504耦接至共享总线505。每个密码模块504可以特别地包括一个或更多个密码核,以执行某些密码运算。示例性密码核是:
[0408]
–
aes核509,
[0409]
–
sha核510,
[0410]
–
ecc核511,以及
[0411]
–
基于格的密码(lbc)核508。
[0412]
可以提供基于格的密码核508,以进行或加速基于格的密码术。
[0413]
cpu 501、硬件随机数发生器512、nvm 503、密码模块504、ram 502和输入/输出接口507连接至总线505。输入输出接口507可以具有至可能类似于处理设备500的其他设备的连接514。
[0414]
密码模块504可以配备或不配备有基于硬件的安全组件。作为一种选择,密码模块504可以包括随机数生成器。
[0415]
经由电接触和/或经由电磁场向模拟模块506供应电力513。提供该电力以驱动处理设备500的电路,并且可以特别地允许输入/输出接口经由连接514发起和/或维持与其他设备的连接。
[0416]
总线505本身可以是隐蔽的或普通的。处理本文描述的步骤的指令可以特别地被存储在nvm 503中并由cpu 501处理。处理的数据可以存储在nvm 503或ram 502中。支持功能可以由密码模块504(例如,伪随机数据的扩展)提供。随机数可以由硬件随机数生成器512提供。
[0417]
本文描述的方法的步骤可以排他地或至少部分地在密码模块504上进行。例如,指令可以存储在基于格的加密核508中,或者它们可以由cpu 501经由总线505提供。数据可以用密码核508至511中的任何一个存储在本地。还有一种选择是,将数据临时存储在ram 502或nvm 503中。基于格的密码核508还可以使用其他密码模块来提供支持功能(例如,伪随机数据的扩展)。基于格的密码核508还可以包括硬件随机数发生器或用于生成物理和/或软件随机数的装置。
[0418]
处理设备500可以是通过直接电接触供电或通过电磁场供电的芯片卡。处理设备500可以是固定电路或基于可重新配置的硬件(例如,现场可编程门阵列,fpga)。处理设备500可以耦接至个人计算机、微控制器、fpga或智能电话。
[0419]
图5示出了处理设备600的另一示例。处理设备600包括硬件安全模块601、非易失性存储器(nvm)608、随机存取存储器(ram)609、用于与其他设备通信的接口610以及与硬件安全模块(hsm)601、ram 609、nvm 608和接口610耦接的应用处理器607。
[0420]
hsm 601包括控制器602、硬件随机数发生器(hrng)606和至少一个密码模块603。密码模块603示例性地包括aes核604和基于格的密码(lbc)核605。
[0421]
根据一个实施方式,hsm 601和应用处理器607可以紧密耦接地在同一物理芯片上制造。在应用处理器执行计算密集型任务(例如,图像识别、通信、电机控制)时,hsm 601递送密码服务和安全密钥存储。hsm 601仅可由限定的接口访问并且被认为以如下方式独立于系统的其余部分:应用处理器607的安全性妥协仅对hsm 601的安全性具有有限的影响。
hsm 601可以通过使用由示例性aes 604和hrng 606支持的控制器602、lbc 605来执行关于处理设备600描述的所有任务或任务的子集。它可以执行本文描述的(至少部分地)由内部控制器控制或作为cmos电路的过程。此外,应用处理器607还可以执行本文描述的过程(至少部分地,例如,与hsm 601协作)。
[0422]
具有该应用处理器607和hsm 601的处理设备600可以用作汽车或其他车辆中的中央通信网关或(电)电机控制单元。
[0423]
在一个或更多个示例中,可以至少部分地在硬件例如专有硬件部件或处理器中实现本文中所描述的功能。更一般地,可以以硬件、处理器、软件、固件或其任何组合来实现技术。如果以软件实现,则功能可以作为计算机可读介质上的一个或更多个指令或代码被存储或传输,并且由基于硬件的处理单元执行。计算机可读介质可以包括:计算机可读存储介质,其对应于有形介质例如数据存储介质;或者通信介质,其包括有助于例如根据通信协议将计算机程序从一个地方传输至另一地方的任何介质。以这种方式,计算机可读介质通常可以对应于(1)非暂态的有形计算机可读存储介质,或(2)通信介质例如信号或载波。数据存储介质可以是可以由一个或更多个计算机或者一个或更多个处理器访问以检索用于实现本公开内容中描述的技术的指令、代码和/或数据结构的任何可用介质。计算机程序产品可以包括计算机可读介质。
[0424]
作为示例而非限制,这样的计算机可读存储介质可以包括ram、rom、eeprom、cd
‑
rom或其他光盘存储装置、磁盘存储装置或其他磁存储设备、闪存或者可以用于以指令或数据结构的形式存储所需的程序代码并且可以由计算机访问的任何其他介质。另外,任何连接被适当地称为计算机可读介质,即计算机可读传输介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线(dsl)或诸如红外、无线电和微波的无线技术从网站、服务器或其他远程源发送指令,则同轴线缆、光纤线缆、双绞线、dsl或诸如红外、无线电和微波的无线技术包括在介质的定义内。然而,应当理解的是,计算机可读存储介质和数据存储介质不包括连接、载波、信号或其他暂态介质,而是替代地针对非暂态有形存储介质。本文所使用的盘(disk)和碟包括致密碟(cd)、激光碟、光碟、数字多功能碟(dvd)、软盘和蓝光碟,其中,盘通常以磁性方式再现数据,而碟使用激光以光学的方式再现数据。上述介质的组合也应当包括在计算机可读介质的范围内。
[0425]
指令可以由一个或更多个处理器执行,所述一个或更多个处理器例如一个或更多个中央处理单元(cpu)、数字信号处理器(dsp)、通用微处理器、专用集成电路(asic)、现场可编程逻辑阵列(fpga)或其他等效的集成或离散逻辑电路。因此,如本文中所使用的术语“处理器”可以指任何前述结构或适合于实现本文所描述的技术的任何其他结构。另外,在某些方面,本文描述的功能可以在被配置为用于编码和解码的专用硬件和/或软件模块内提供,或者并入在组合编解码器中。此外,可以在一个或更多个电路或逻辑元件中完全实现技术。
[0426]
本公开内容的技术可以在包括无线手持机、集成电路(ic)或一组ic(例如芯片组)的各种设备或装置中实现。在本公开内容中描述各种部件、模块或单元以强调被配置成执行所公开的技术的设备的功能方面,但是各种部件、模块或单元不一定需要由不同的硬件单元来实现。确切地说,如上所述,各种单元可以组合在单个硬件单元中,或者通过(包括如上所述的一个或更多个处理器的)互操作硬件单元的集合结合适当的软件和/或固件来提
供。
[0427]
虽然已经公开了本发明的各种示例性实施方式,但是对于本领域技术人员而言明显的是,在不脱离本发明的精神和范围的情况下,可以进行将要实现本发明的一些优点的各种改变和修改。对于本领域技术人员而言明显的是,可以适当地替换执行相同功能的其他部件。应当提及的是,即使在没有明确提及的情况下,参考特定附图说明的特征也可以与其他附图的特征组合。此外,本发明的方法可以在所有软件实现方式中使用适当的处理器指令来实现,或者在利用硬件逻辑和软件逻辑的组合来实现相同结果的混合实现方式中实现。对本发明的构思的这些修改旨在由所附权利要求覆盖。
[0428]
参考文献列表:
[0429]
[newhopenist17]newhope
–
submission to the nist post
‑
quantum project.erdem alkim,roberto avanzi,joppe bos,l
é
o ducas,antonio de la piedra,thomaspeter schwabe,douglas stebila.见https://csrc.nist.gov/projects/post
‑
quantum
‑
cryptography/round
‑1‑
submissio ns
[0430]
[newhopesimplepapereprint16]erdem alkim,l
é
o ducas,thomaspeter schwabe:newhope without reconciliation.iacr cryptology eprint archive 2016:1157(2016).
[0431]
[newhopepapereprint16]erdem alkim,l
é
o ducas,thomaspeter schwabe:post
‑
quantum key exchange
‑
a new hope.iacr cryptology eprint archive 2015:1092(2015)
[0432]
[ospg18]t.oder,t.schneider,t.and t.g
ü
neysu:practical cca2
‑
secure and masked ring
‑
lwe implementation,iacr eprint,23jan 2018(accessed 15june 2018),https://eprint.iacr.org/2016/1109.pdf
[0433]
[lpr10a]vadim lyubashevsky,chris peikert,oded regev.:on ideal lattices and learning with errors over rings,journal of the acm,60(6):43:1
–
43:35.preliminary version in eurocrypt 2010.https://web.eecs.umich.edu/~cpeikert/pubs/ideal
‑
lwe.pdf
[0434]
[lpr10b]vadim lyubashevsky,chris peikert,oded regev.:on ideal lattices and learning with errors over rings,slides presented at eurocrypt 2010,https://web.eecs.umich.edu/~cpeikert/pubs/slides
‑
ideal
‑
lwe.pdf
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
