polarRLCE:一个新的基于代码使用极性码密码系统

文摘

所带来的安全挑战即将到来的5 g时代应该认真对待。基于代码加密编码理论,并利用困难的问题中启用加密原语的一个主要技术postquantum场景。在这项工作中,我们提出第一个有效的安全方案基于极地代码(例如,polarRLCE),这是受RLCE计划,NIST的候选人postquantum密码学标准化在第一轮。除了避免RLCE方案的一些弱点,我们表明,通过适当的参数选择,使用极性码,可以设计一个加密方案来达到预期的安全级别,同时保留相当小的公共密钥大小。此外,我们还提供一个克姆版本的polarRLCE方案,可以达到一个微不足道的解密失败率在相应的安全参数。结果表明,我们的建议享有明显优势降低公共密钥大小,特别是在戒备森严的层面上。

1。介绍

加密技术对网络通信的安全至关重要。然而,许多常用的密码将被完全破碎一次大型量子计算机存在。众所周知,一些计算密集型任务可能会显著加速通过量子计算机上运行算法,如肖(1和格罗弗的2)算法。当前的密码协议,如RSA和diffie - hellman下量子算法被证明是脆弱。这一事实使加密的研究关注postquantum解决方案,即:,finding new primitives based on more well-suited mathematical problems that may still be difficult to solve for a quantum computer. With this in mind, the US National Institute of Standards and Technology (NIST) is now beginning to prepare for the transition into postquantum cryptography (PQC) and has launched a call for PQC standardization project [3),这正在进行的标准化已经2^nd到目前为止。由于其固有的抗量子计算机攻击,基于代码加密是PQC标准化的主要候选人之一,与多元和lattice-based方案。

基于代码加密被接受为抗量子计算基于一个硬编码的理论问题,解码一个随机线性代码在一些度量。从历史上看,保守的和容易理解的选择是基于代码加密McEliece密码系统(4)和双变异Niederreiter [5使用二进制Goppa代码)。然而,他们遭受的缺点有大型公共密钥大小,尽管快速加密和解密操作。因此至关重要的寻求方法来减少基于代码的关键尺寸密码同时保持他们的安全级别。后的原始提案基于代码加密方案由McEliece [4)是基于二进制Goppa编码,提出了几种变异对小钥匙或使用不同的代码,允许更有效的编码和解码算法,例如,代数几何(AG)代码6),广义Reed-Solomon (GRS)代码7,8),低密度奇偶校验(LDPC)码9,10),Reed-Muller (RM)代码11),低秩奇偶校验(LRPC)代码12),等等。尽管最初McEliece密码系统仍然是安全的,大多数的变异已经成功cryptanalyzed [13- - - - - -17]。尽管他们承诺的特性,选择编码需要谨慎处理由于太多的结构。

值得注意的是王(18,19)提出了一种随机线性基于代码抗量子公钥加密方案,称为RLCE, McEliece加密方案的一个变体。他们分析了一个实例化的RLCE计划使用GRS代码和随机性引入公钥,基于GRS并列的代码与一个随机线性代码。RLCE方案的想法是使用失真矩阵混合了一些随机列与结构化的。RLCE方案的优点是它的安全性不依赖于任何特定的结构潜在的线性码,相反,它是基于 - - - - - -硬度的随机线性编码解码。以这样一种方式,先前关于GRS攻击代码基于过滤器材的技术不再工作。然而,原始参数的一部分受到[20.],RLCE没有选中的第二轮NIST PQC标准化的电话。

极性编码,引入Arikan (21),得到了太多的关注,因为他们是纠错编码的头等舱,证明地实现任何对称二进制离散无记忆信道的容量(B-DMC)非常有效的编码和解码算法,时间复杂度的尺度 ,在哪里n是代码的长度。因为良好的性能和较低的复杂度,极地代码采用了未来无线通信系统中使用(例如,5 g蜂窝系统)。展望未来,有一个关键需要确保5 g技术,开发,设想未来采用PQC公钥密码体制。

1.1。相关工作

在这个线程的研究中,有两个启发式变异(22,23基于极性码)的McEliece密码系统。第一个(23)是被Bardet et al。24使用最小重量码字的结构。他们设法解决极性码代码等价问题,从而彻底打破了计划(23根据极性码)。第二个变体是由Hooshmand et al。22),建议使用极性码的子代码。然而,我们发现,建议在22以来,实践是无用的暗文无法解密,讨论部分2.4。

1.2。我们的贡献

在这项工作中,我们结合RLCE计划通过插入随机的想法列,然后提出第一个有效的安全方案基于极地代码(例如,polarRLCE),这可以避免的攻击24]。此外,列出可能的攻击和几种选择的关键尺寸参数是已知的方案相比具有相同的安全级别。我们表明,现有的攻击似乎并没有有效的建议方案。更重要的是,我们的建议享有明显优势降低公共密钥大小,尤其是在戒备森严的水平。它让我们重新考虑极性码适合使用基于代码加密。

本文的其余部分组织如下。等一些必要的预赛中给出的符号和定义部分2。节3,我们目前的精确描述polarRLCE建设方案。部分4讨论了已知cryptanalytic袭击我们的建议,并给出了一个紧凑的关于polarRLCE key-encapsulation机制(克姆)版本。此外,我们给建议的选择参数和关键尺寸可实现的安全级别。最后,一些结束语部分5。

2。预赛

在本节中,我们介绍的一些基本背景信息必须遵循本文。在整个论文中,我们将由小写粗体字母表示向量,例如, 。表示矩阵,大写粗体字母,例如, 。

2.1。编码理论

我们首先简要回顾编码理论的基本概念,并展示其应用程序公开密匙加密。

定义1(线性码)。一个 线性代码在一个有限的领域是一个k维线性子空间的 。

定义2(生成矩阵和奇偶校验矩阵)。一个矩阵的条目有行宽的生成矩阵吗 线性代码 。和奇偶校验矩阵是一个产生的正交补矩阵的行 。
可以指定一个线性代码通过生成矩阵或一个奇偶校验矩阵通过 如果或 ,也就是说,each matrix entry is chosen uniformly at random from ,然后我们打电话一个随机线性代码。
的代码可以用不同的发电机矩阵。一个重要的一个是系统的形式,即。,when each input symbol is directly represented in its firstk协调立场。系统线性码的生成矩阵总是可以写成 ,在哪里是单位矩阵的大小k。如果有这样一个系统的形式呢 。

定义3(穿刺和缩短代码)。给定一个 线性代码 ,让我是的一个子集 和我th码字的条目被编写为 。然后,我们定义戳破了代码和缩短代码作为 给定一个子集我坐标系的一个向量 ,我们表示向量刺穿在我,也就是说,他的我th入口已被删除 。

引理1。让是一个代码的维度k和生成矩阵 。然后,这个矩阵是一个生成矩阵 ,可以通过删除列的指数我。

我们现在只考虑二进制编码,即 。汉明重量一个二进制向量非零向量中的条目的数量。和代码的最小汉明距离被定义为 ,在哪里 。

2.2。McEliece的公钥密码体制

1978年,McEliece呈现在他的论文4第一个基于代码的公钥加密系统,依靠Goppa代码形成了密钥。和一个置换矩阵和一个可逆矩阵用于加扰和隐瞒秘密密钥。它使用一个 线性代码在 ,纠错的能力t错误,一个有效的解码算法。通用密钥生成、加密和解密步骤最初的提议在4)工作如下。私钥:它包括三个矩阵 , ,和 ,在哪里是一个这段代码生成矩阵,是一个任意二进制满秩矩阵(称为加扰矩阵),和是一个随机排列矩阵。公钥:它由矩阵定义为和纠错能力t。加密:加密消息并选择一个随机误差向量与重量 ,然后计算相应的密文 解密:解密过程包括在计算 并使用一个快速解码算法Goppa代码恢复 。消息就恢复了 。

注意,误差向量乘以一个排列不会改变向量的重量。人们很容易验证方案通过检查的正确性

双版本的McEliece密码系统使用奇偶校验矩阵的生成矩阵提出了Niederreiter (5]。后的想法25),Niederreiter系统和McEliece系统是等价的安全。

了解所选Goppa代码的描述允许有效的解码,因为有许多有效的解码算法这一问题在多项式时间内运行。然而,只知道公钥 ,攻击者面对的是一个解码问题代码看起来像一个随机代码,这是 - - - - - -硬度。攻击者可以尝试解码一个截取密文(消息恢复攻击)或试图恢复秘密矩阵从公众的矩阵(密钥恢复攻击)。

McEliece系统的安全级别仍然非常稳定,尽管许多攻击论文超过40年,不管原来McEliece参数设计只有64位的安全级别。例如,作为推荐的伯恩斯坦et al。26),与二进制Goppa McEliece方案编码使用代码长度和代码尺寸和添加错误可以达到128位的安全级别,因此,相应的公共密钥大小是187.69 kb。

2.3。极地规范建设

我们首先回忆关于极地编码的基本事实。所示的开创性工作Arikan [21),对于任何B-DMC,存在一个极地代码块长度位设置为特征的信息指数小错误速度下连续取消(SC)译码器。一个极性可能完全由指定的代码 ,在哪里n位码字的长度,k是信息的数量每码字比特编码,然后呢是一组整数指数称为冻一点位置 。的k更可靠的子信道与指数(基于极化现象)携带信息位,其余的子信道中互补(即。,the set )可以设置为固定值,如所有的0。一般来说,挑战在于如何选择信息比特组或者,更准确地说,提出的方法寻找良好的极化通道的指标。

为一个二进制代码的长度 ,极地编码输入向量是由极化变换矩阵 ,这是米克罗内克符号的力量内核矩阵:

对于一个给定的噪声信道,生成矩阵一个 极地代码被定义为的子矩阵组成的k行指标对应的信息集合 。粗略地讲这些行选择以这样一种方式,它使SC解码器性能良好。这些代码都配备了一个SC解码器的解码复杂度尺度(见[21更多细节)。

利用极性码在密码学的想法以一种自然的方式因为极性码的好处各种有趣的属性:可以达到香农容量类的二进制离散无记忆信道,实现更好的性能(降低解码错误),因为通道极化随块长度的增加,拥有高效的编码和解码过程,等。尽管极地RM码编码是密切相关的,密码分析的技术用于RM极性码代码不工作。

2.4。该提议由Hooshmand et al。22]

极性码的纠错能力(21]不仅依赖于代码长度等其他因素也编码速率和信道设计的。然而,纠错能力仅仅是将一个固定的值在提议Hooshmand et al。22),他们没有考虑解码的错误概率。例如,他们声称,一个可以使用 - - - - - -极地代码与 ,随后定理8 (27]。实际上,定理从[827)只适用于连接极性码的长度对burst-errors所(27]。不过,这个提议在22通过加密过程]使用随机误差。与这些参数(22),使用MATLAB R2018a,我们进行了数值模拟解码轨迹下利用SC译码器(21),实验结果表明,译码错误概率几乎是0.8,也就是说,暗文无法解密,不能在实际环境中使用。关于我们的建议,错误概率大约是(见部分3)。此外,我们将基本polarRLCE转换成key-encapsulation机制(克姆)版本,它可以实现微不足道的解密失败率(DFR)在相应的安全参数。

3所示。我们的polarRLCE方案

在本节中,我们描述我们的新变体McEliece密码系统利用RLCE的方法(18,19)计划。更准确地说,我们polarRLCE指定如下的程序。密钥生成:根据建设极地的代码部分2.3,(我)选择一个 极地代码生成矩阵的长度n和维k。(2)生成随机的列向量 ,,让 是 矩阵得到的插入随机列向量到矩阵 。(3)混合的列,选择随机非奇异的二进制矩阵 。表示与 block-diagonal矩阵: (iv)让是一个随机选择的满秩矩阵和是 置换矩阵。(v)公共密钥 矩阵的定义是 然后,公钥和私钥,分别 加密:让消息被加密。然后,我们随机向量生成错误这样,汉明重量 。计算相应的密文: 解密:解密密文 ,(我)计算 。(2)删除条目的行向量的位置 。我们表示了n长度的向量,

(3)很容易检查对于一些误差向量 ,在哪里 。然后,使用有效的解码算法,可以恢复相应的消息 。

为了构建极地代码用于我们的提议变体方案,我们认为这里的二进制对称信道(BSC)与交叉概率 。例如,实现128位安全、可靠的解码和保持合理的小钥匙大小有足够的安全级别,我们将设置参数,这样的选择 , ,和 。下面的方法Dragoi [28),通过详尽的仿真验证,我们可以选择误差向量的重量合理的译码错误概率大约是 。

备注1。请注意我们的计划允许偶尔解密失败的有效暗文(类似于一些NIST PQC提交),这是继承了解码算法。然而,对于极性码的性能良好,人们很容易解决这个问题通过重复加密了伊顿et al。29日)可减少解密故障率水平可以忽略不计的安全参数,在不改变整个参数。

4所示。安全分析

在本节中,我们将讨论几个可能的攻击我们的提议polarRLCE计划3。有两种主要的攻击阻止。,key structural attack and decoding attack.

此外,如果代码 ,的生成矩阵作为公钥的一部分,可以区分,那么敌人可能利用的结构呢 ,这也可能让对手发展更快的攻击算法。实际上,大多数McEliece系统很容易受到这些变化的结构攻击的代数结构底层代码。

4.1。蛮力攻击

蛮力攻击是一个试错方法用于获得正确的钥匙。对于我们的方案,回想一下,私钥 随机获得。此外,候选人的数量可逆矩阵在是

通过将建议的参数(与128位的安全) , ,和 ,事实证明这是不可行的检索其他三个元素构建私钥通过猜测,因为存在 不同的矩阵和近选择 。此外,候选人block-diagonal矩阵是 。因此,穷举搜索的复杂性攻击我们的计划有一个指数,这表明这种攻击是不切实际的。

4.2。广场的攻击

在本节中,我们研究了平方polarRLCE攻击。有兴趣增加广场(也称为舒尔产品)线性编码的最后几年(cf。30.])。舒尔产品关注的另一个和最近应用公钥密码体制密码分析的基于代码。在这种背景下,舒尔产品是一个非常强大的操作可以帮助区分密码和随机的。

事实上,插入的方法随机秘密矩阵中的列或行确实提出(7,8,31日),以避免结构攻击McEliece密码体制的类似版本。尽管这个建议有效地避免最初的攻击,最近的研究(14,32,33)表明,在RM GRS代码或代码的情况下,随机列可以通过考虑舒尔产品代码的尺寸。

定义4(舒尔产品)。让 ,然后两个向量的舒尔产品用

定义5(广场代码)。让和线性码的长度n。舒尔产品的两个代码是由所有产品张成的向量空间与和 : 如果 ,然后我们打电话广场上的代码,表示 。基于代码的平方码密码体制的影响变得清晰,当我们研究这些结构的维度。

定义6(舒尔矩阵)。让是一个矩阵,行 。舒尔矩阵的 ,用由行为 。
我们观察到,如果是一个代码的生成矩阵 ,那么它的舒尔矩阵(或子矩阵包含线性独立的行 )是一个平方码的生成矩阵 。为矩阵 ,矩阵最多的大小(参见[30.])。
众所周知,一个线性码的平方 有尺寸 和一个随机线性代码达到这个上限有高概率的。
成功的一个关键特性在大多数密码分析工作,提出代码有小Schur-product维度导致关键复苏或区分攻击。尤其是,这让人们相信的想法,编码与小Schur-product维度似乎不适合使用McEliece框架。例如,如果代码是广义Reed-Solomon (GRS)代码,那么满足 满足这个下界与平等,即。,因为 ,他们的平方尺寸远小于一个期望从一个随机的代码。实际上,这个事实是,例如,利用(14,33)建立一个有效的辨义成分,产生结构性攻击GRS-based McEliece密码系统。
看着广场的定义代码,我们观察,它是由所有可能的每一对Schur-products (nonnecessarily不同)码字在给定线性代码。因此,人们很自然地认为广场的尺寸代码是“尽可能大。“换句话说,随机选择线性代码 ,我们希望不平等(16)实际上是一个平等有很高的概率。
让我们考虑一下最近的工作(34)报道,它可能存在启发式辨义成分,如果两个特定弱减少集。然而,在我们polarRLCE方案的情况下,这样的设置不太容易被发现,因为扩展公共代码插入随机列。
说明广场袭击,我们进行模拟生成10000个随机集的公共密钥矩阵。我们的实验结果表明,在提出polarRLCE方案的情况下,广场的公共代码可以达到最大尺寸。考虑到参数的选择(与128位安全) , ,和 。所以,我们可以获得 公共密钥矩阵 。表示扩展公共代码 。因此,从不等式(16),我们有 提出的参数,我们观察到实验公共矩阵的维数的平方产品总是达到最大,也就是说, 此外,执行随机刺穿操作后, ,或者,我们可以获得 的基础上观察如上所述,我们声称广场袭击有关的技术polarRLCE不能用来区分从随机码。

4.3。密钥恢复攻击

密钥恢复攻击是结构性攻击的重要方式之一,在于恢复从公钥私钥。在这种情况下,方法是特定于家庭的代码。为了计算给定的公钥,私钥通常解决问题等价的代码。

定义7。让和是两个的生成矩阵 二元线性码。鉴于和 ,存在一个二进制可逆矩阵和置换矩阵这样 。
这个问题第一次被研究了Petrank和罗斯35在二进制字段)。最常见的算法来解决这个问题是支持分裂算法(SSA) [36]。SSA在随机情况下非常有效,但它不能用于代码的情况下与大型船体或代码等大型置换群Goppa编码和极地编码。
然而,一个非常有效的结构攻击变种(23]介绍了使用极性码Bardet等人在[24]。首先,他们设法准确地确定结构的最小重量码字的原始极性码。然后,他们解决了极性码代码等价的问题对于减少单项法规。注意,这种攻击是非常具体的简单使用极性码(23]。
关于我们的建议,是一个非常有效的方法保护方案自私人代码的结构以某种方式粉碎了插入随机元素。因此,尽管人们可以找到足够的轻量级的密语,虽然他们不受原极地代码,因为这些码字具有一个扩展的长度公共密钥矩阵生成的是哪一个 。最自然的方法是执行刺穿操作,但一个指数的码字需要检查数量 另一方面,敌人无法识别的插入位置区分攻击或广场攻击如上所述部分4所示。2。所以,代码等价问题解决在这种情况下变得更加复杂。因此,攻击(24,34)不适用直接向我们提出polarRLCE方案。
最后,我们注意到,最近,Couvreur et al。20.)提出了一个密钥恢复攻击一半的参数设置提出了RLCE方案(19]。他们表明,可以区分一些钥匙从随机码通过计算一些缩短公共的平方码。的位置 基于分裂成四个部分的条目GRS码字满足一个特定的形式化表达,也就是说, ,然后认识到双位置。而极性码用于上述情况的不同结构之间的极性和GRS代码。
根据上述分析,我们发现没有其他区别我们的建议的方法,我们声称,它确实能够避免攻击的密钥恢复。

4.4。Message-Decoding攻击

在基于代码加密Message-decoding攻击是一个重要的问题。从密文恢复私人信息的问题直接相关的硬度一般线性码的解码。一种可能的攻击恢复消息信息集合解码(ISD)算法,即解码一个随机线性代码没有利用任何代码的结构属性。ISD算法搜索一个信息集合,这样的错误位置的信息集合。ISD的工作因素明显增加的数量在加密过程中添加错误。因此,在选择参数时,我们将主要关注击败ISD家族的攻击。

这种技术被首次引入Prange [37]。以后,许多不同的算法技术一直在探索提高ISD算法的复杂性。几个变量(26,38- - - - - -40)和推广,值得注意的是大多数现代ISD算法是基于斯特恩的38)算法,它结合了碰撞搜索方法来加快解码。

因此,我们将继续分析的复杂性,斯特恩的算法。同样,他们试图找到一个t—力量码字的 线性代码生成的 。更准确地说,除了生成矩阵 ,该算法需要额外的整数作为输入参数p和l这样和 。每次迭代的步骤中描述的算法1。

然后,在一个迭代中成功的概率是多少

和斯特恩的一个迭代算法的成本如下:

我们将ISD攻击算法的改进版本(26,39),这是一个严厉的泛化算法(38]。他们指出,对于小字段(例如,在我们的例子中, ),选择新算法参数c和r 应该考虑,这可以产生良好的加速效果在每个迭代的高斯消去法成本。此外,他们提供了一个改进的工具,它允许一个粗略的近似计算的基于代码的安全级别密码系统对信息集合解码的攻击。

ISD实际评价的运行时间和相应的安全级别,同样的,大多数的NIST PQCrypto基于代码提交利用这种复杂性的计算工具来确定他们的建议的安全级别,我们也使用这个工具来表示我们的实现的安全级别。应该注意,密文的长度而不是n在我们的例子中。根据这个计算工具,我们测试不同的输入参数对预期的一些安全级别进行分类 ,分别(见部分4所示。6更多的细节)。

4.5。的克姆polarRLCE方案

Key-encapsulation机制(克姆)是一种常见的垫脚石的目标强有力的安全目标,即。不可分辨性与适应性选择密文攻击(IND-CCA2)。我们还建议key-encapsulation机制(克姆)的版本我们polarRLCE计划,组成的三种算法: ,通过应用转换的伊顿et al。(29日)观察。这个提议的一个有利的特性是polarRLCE方便的过程,它使我们KEM-DEM版本实现微不足道的解密失败率在相应的安全参数。让 , ,和哈希函数,通常由NIST SHA-3作为建议。在这里,我们显示以下KEM-DEM版本。注册机( ):一模一样polarRLCE键生成(部分3),并生成一个公共/密钥对 。Encaps ( ):封装一个共享密钥在密文如下:(我)选择一个种子并设置平行度P(2)为 ,让(3)计算 ,和相应的密文= Enc。( , , )(iv)输出共享密钥和 开瓶( ):decapsulate共享密钥从密文与 。(我)解密密文得到 ,在哪里 。(2)让当最后一步成功解密的当前状态,然后计算 。(3)计算= Enc·( , , ),获得,并验证 。如果是这样的话,返回共享密钥 。

同样的建筑被证明IND-CCA2担保工作的(29日]。可以找到更多的细节关于安全减少(29日]。

提供IND-CCA2对于一个给定的安全水平 ,它需要被膜剥除术有一个正确性错误 。记得的DFR polarRLCE计划不超过 。生成的密文包括几个独立封装的关键,被膜剥除术只发生如果解密失败发生在底层polarRLCE计划的每一个实例。愿意DFR的目标 ,我们可以选择平行度 ,分别。因此,我们克姆版本达到期望的目标DFR值可以忽略不计 , ,和 。

4.6。建议参数polarRLCE

在本节中,我们给出的建议参数1 polarRLCE方案,三个最相关的标准安全水平,128位,192位和256位。除此之外,公共密钥大小的比较对我们的建议参数与RLCE [19(安全第二组参数)和原McEliece [26)方案(在二进制Goppa编码)在2,加上先进的NTS-KEM [41]和Classic-McEliece [42),开始第二轮的NIST PQC标准化过程。

为了方便起见,我们介绍以下符号表的每一列列表:(我) :安全级别(2) :插入列的数量(3) :代码长度n、代码尺寸k,t是纠错能力(iv) :公开密匙以kB为单位的大小(v) :私有密匙在kb大小(vi) :密文字节数(七) :ISD攻击算法的工作因素

我们评论中给出的参数表1可能是容易被攻击的量子随机预言模型(下QROM(43])。在这里,我们目前的参数仅为了说明我们建设的合理性,我们最好的知识,对当前已知的安全攻击。

从表2,我们可以看到,我们的方案可以减少最初的公共密钥大小至少McEliece方案 。它有明显的优势减少大小的关键,尤其是在戒备森严的水平。然而,候选人相比基于汉明(排名)刻画(QC)代码,我们的建议的公共密钥大小不如他们。然而,一种新型的统计分析,称为反应攻击(44,45),正在威胁着这些计划与一个特定的QC底层代码结构(46,47]。最后的话,它必须考虑反应攻击即使没有质量控制结构的影响在我们的提议。

5。结论

总而言之,我们提出了一种新的基于代码加密方案的变体探索极地代码,有益于降低编码和解码的复杂性。我们表明,参数的正确选择与最先进的密码分析,仍有可能设计安全方案来达到预期的安全级别,同时保持一个相当小的关键尺寸,使用极坐标代码。

然而,缺点是信息率低。我们可以解决这个问题,将一些信息数据的错误模式,如图所示Biswas和Sendrier [48]。也就是说,一些额外的信息比特映射到一个误差向量添加加密阶段。此外,未来的工作试图转移我们的计划获得签名方案也可能是一个有趣的问题。

数据可用性

使用的数据来支持本研究的结果包括在本文中。

的利益冲突

作者宣称没有利益冲突。

确认

我们要感谢弗拉德博士Dragoi深刻的讨论。这项工作是支持部分由中国国家自然科学基金(批准号61702124)、卡塔尔基金会(批准号nprp8 - 2158 - 1 - 423),广东省级自然科学基金(批准号2018 a030310071)。

引用

1. p·w·肖,”多项式时间算法离散对数和保理的量子计算机,”在计算机科学的课堂讲稿施普林格,p。289年,柏林,德国,1994年。视图:谷歌学术搜索
2. l·k·格罗弗,”量子力学数据库搜索算法快学报》第28届年度ACM Computing-STOC理论研讨会上,ACM出版社,费城,宾夕法尼亚州,美国,1996年5月。视图:谷歌学术搜索
3. 国家标准与技术研究院量子加密后项目(2017)美国马里兰州盖瑟斯堡,NIST, 2017。
4. r . j . McEliece”基于代数编码理论的公钥密码体制”,喷气推进实验室DSN进展报告卷,4244年,第116 - 114页,1978年。视图:谷歌学术搜索
5. h . Niederreiter Knapsack-type密码和代数编码理论,“控制通知理论问题,15卷,不。2、159 - 166年,1986页。视图:谷歌学术搜索
6. h . Janwa o·莫雷诺,“Mceliece使用algebraic-geometric密码,公钥密码体制”设计、编码和加密,8卷,不。3,1996。视图:出版商的网站|谷歌学术搜索
7. t·p·伯杰和p . Loidreau如何加密使用掩码的结构,“设计、编码和加密,35卷,不。1,第79 - 63页,2005。视图:出版商的网站|谷歌学术搜索
8. c . Wieschebrink”两个np完全问题在编码理论与应用程序代码加密为基础,”《2006年IEEE国际研讨会信息理论美国IEEE,西雅图,佤邦,2006年7月。视图:谷歌学术搜索
9. c . Monico j .罗森塔尔和a . Shokrollahi”使用低密度奇偶校验码McEliece密码体制,”《2000年IEEE国际研讨会信息理论(猫。00 ch37060)IEEE,索伦托,意大利,2000年6月。视图:谷歌学术搜索
10. p . Gaborit“短键代码基于密码学,”《2005国际研讨会上编码和密码学(2005“)挪威卑尔根,页81 - 91,,2005年3月。视图:谷歌学术搜索
11. v . m . Sidelnikov”基于二进制reed-muller公钥密码体制密码”,离散数学及其应用,4卷,不。3,1994。视图:出版商的网站|谷歌学术搜索
12. p . Gaborit g . Murat o . Ruatta, g . Zemor“低等级奇偶校验码和他们的应用程序加密,”车间的程序编码和加密“挪威卑尔根卷。2013年,2013年4月。视图:谷歌学术搜索
13. m Baldi和g f Chiaraluce”,密码分析的一个新实例McEliece基于QC-LDPC代码,密码系统”《2007年IEEE国际研讨会信息理论IEEE,不错,法国,2007年6月。视图:谷歌学术搜索
14. a . Couvreur p . Gaborit诉Gauthier-Umana, a . Otmani和j。蒂利希,“Distinguisher-based攻击公钥密码机制使用reed-solomon代码,”设计、编码和加密,卷73,不。2、641 - 666年,2014页。视图:出版商的网站|谷歌学术搜索
15. A . Couvreur c i马尔克斯,r . Pellikaan”一个多项式时间攻击基于代数几何码的公钥密码体制,”《2014年IEEE国际研讨会信息理论IEEE檀香山,嗨,美国,2014年6月。视图:谷歌学术搜索
16. j . c . Faugere a . Otmani l . Perret j.p.蒂利希,”代数密码分析McEliece变异与紧凑的钥匙”2010年Cryptology-EUROCRYPT进步施普林格,页279 - 298年,柏林,德国,2010年。视图:谷歌学术搜索
17. l .看守者和a . Shokrollahi“sidelnikov密码体制密码分析,”2007年Cryptology-EUROCRYPT进步施普林格,页347 - 360年,柏林,德国,2007年。视图:谷歌学术搜索
18. 抗y王,“量子随机线性代码基于公钥加密方案RLCE,”学报2016年IEEE国际研讨会信息理论(拜访)IEEE,巴塞罗那,西班牙,2016年7月。视图:谷歌学术搜索
19. y王Rlce-key封装机制美国马里兰州盖瑟斯堡,NIST, 2017。
20. a . Couvreur m . Lequesne j.p.蒂利希,“短密钥恢复RLCE在多项式时间内,”Post-quantum密码学,页133 - 152,施普林格国际出版,柏林,德国,2019年。视图:谷歌学术搜索
21. e . Arikan“通道极化:方法构建capacity-achieving编码对称二进制输入无记忆频道,“IEEE信息理论,55卷,不。7,3051 - 3073年,2009页。视图:出版商的网站|谷歌学术搜索
22. r . Hooshmand m . k . Shooshtari t . Eghlidos和m . r .奥”减少mceliece密码体制的密钥长度使用极性码,”学报2014年11日国际ISC信息安全与密码学会议2014年9月,IEEE,德黑兰,伊朗,。视图:谷歌学术搜索
23. s . r . Shrestha和y s . Kim“新McEliece密码系统基于极性编码作为post-quantum密码学的候选人,”学报》2014年第14通信和信息技术国际研讨会(ISCIT)2014年9月,IEEE,仁川,韩国,。视图:谷歌学术搜索
24. m . Bardet j . Chaulet诉Drăgoi, a . Otmani和j·p·蒂利希,“密码分析的基于极性码McEliece公钥密码体制,”Post-quantum密码学,页118 - 143,施普林格国际出版,柏林,德国,2016年。视图:谷歌学术搜索
25. x y, r·h·邓和王”的等价mceliece和niederreiter公钥密码机制,“IEEE信息理论,40卷,不。1,第273 - 271页,1994。视图:谷歌学术搜索
26. d·j·伯恩斯坦,t·兰格和c·彼得斯,“攻击和捍卫McEliece密码体制,”Post-quantum密码学施普林格,页脉络,柏林,德国,2008年。视图:谷歌学术搜索
27. h . Mahdavifar m . El-Khamy j·李,康,“性能限制和交错的实际解码reed-solomon极连接代码,”IEEE通信,卷62,不。5,1406 - 1417年,2014页。视图:出版商的网站|谷歌学术搜索
28. 诉Dragoi,”代数方法研究算法的问题来自密码学和纠错编码理论,“鲁昂大学Mont-Saint-Aignan,法国,2017年,博士论文。视图:谷歌学术搜索
29. e·伊顿m . Lequesne a .家长,和n . Sendrier”QC-MDPC:计时攻击和CCA2克姆,”Post-quantum密码学,页47 - 76,施普林格国际出版,柏林,德国,2018年。视图:谷歌学术搜索
30. Cascudo, r·克莱默·d·德娄·米兰多拉,g . Zemor“方块随机线性码,”IEEE信息理论,卷61,不。3、1159 - 1173年,2015页。视图:出版商的网站|谷歌学术搜索
31. c t Gueye和e·h . m . Mboup”安全加密方案基于修改里德·穆勒代码”国际期刊的安全性及其应用,7卷,不。3,55 - 64、2013页。视图:谷歌学术搜索
32. a . Otmani和h . t . Kalachi广场袭击修改代码sidelnikov密码系统,”在计算机科学的课堂讲稿,页173 - 183,施普林格国际出版,柏林,德国,2015年。视图:谷歌学术搜索
33. c . Wieschebrink”niederreiter公钥密码分析的方案基于GRS子代码,”Post-quantum密码学施普林格,页61 - 72年,柏林,德国,2010年。视图:谷歌学术搜索
34. 诉Drăgoi诉Beiu, d . Bucerzan”McEliece变异基于极地代码的漏洞,”创新的信息技术和通信安全解决方案,页376 - 390,施普林格国际出版,柏林,德国,2019年。视图:谷歌学术搜索
35. 大肠Petrank和r·m·罗斯”代码等价容易决定吗?”IEEE信息理论,43卷,不。5,1602 - 1604年,1997页。视图:出版商的网站|谷歌学术搜索
36. n Sendrier”,发现等效线性码之间的排列:支持分裂算法,”IEEE信息理论,46卷,不。4、1193 - 1203年,2000页。视图:出版商的网站|谷歌学术搜索
37. e . Prange“信息集在解码循环码的使用,“IEEE信息理论,8卷,不。5、5 - 9,1962页。视图:出版商的网站|谷歌学术搜索
38. j·斯特恩,”小体重的方法寻找密语”编码理论和应用斯普林格出版社,页106 - 113年,柏林,德国,1989年。视图:谷歌学术搜索
39. c·彼得斯,“信息集线性编码解码/ f问,”Post-quantum密码学施普林格,页81 - 94年,柏林,德国,2010年。视图:谷歌学术搜索
40. a . 5、i Ozerov”计算最近的邻居与应用程序二进制线性码的解码,”2015年Cryptology-EUROCRYPT进步施普林格,页203 - 228年,柏林,德国,2015年。视图:谷歌学术搜索
41. m·阿尔布雷特c . Cid k·g·帕特森,c . j . Tjhai和m·汤姆林森NTS-KEM美国NIST盖瑟斯堡,马,2019年。
42. d·j·伯恩斯坦周t, t·兰格et al。经典Mceliece:保守的基于代码加密美国NIST盖瑟斯堡,马,2019年。
43. 然后,o . Dagdelen m . Fischlin a·莱曼c·夏弗纳和m . Zhandry“随机在量子世界中,神谕”国际会议上的理论和应用密码学和信息安全施普林格,页41 - 69年,柏林,德国,2011年。视图:谷歌学术搜索
44. 问:郭、t·约翰逊和p . Stankovski”键恢复攻击mdpc cca安全使用解码错误,”国际会议上的理论和应用密码学和信息安全施普林格,页789 - 815年,柏林,德国,2016年。视图:谷歌学术搜索
45. 答:尼尔森、t·约翰逊和p . s .瓦格纳,“基于代码加密错误放大。”IACR交易加密硬件和嵌入式系统1卷,第258 - 238页,2019年。视图:谷歌学术搜索
46. 阿拉贡n, p . Barreto s Bettaieb et al .,自行车:一些关键封装美国马里兰州盖瑟斯堡,NIST, 2019。
47. m . Baldi a . Barenghi f . Chiaraluce g·佩洛西和p . SantiniLedacrypt美国马里兰州盖瑟斯堡,NIST, 2019。
48. b Biswas和n . Sendrier McEliece密码体制实现:理论与实践”Post-quantum密码学施普林格,页47 - 62年,柏林,德国,2008年。视图:谷歌学术搜索

版权

版权©2019金港刘et al。这是一个开放分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。