一种格基加密算法抵抗解密错误攻击能力的估算方法与流程

1.本发明涉及格基密码技术领域，具体而言，涉及一种格基加密算法抵抗解密错误攻击能力的估算方法。


背景技术：

2.格基密码是量子计算时代安全的信息传输方式，具有重要的应用价值，在当前国际上的公钥密码标准化进程中占据主导地位
1.。其中，以带错误学习问题为基础的格基加密算法lindner-peikert-regev类型格基加密算法
6.取得巨大成功。该类算法的基本步骤描述如下：
3.密钥生成阶段：
4.(1)
5.(2)
6.(3)
7.(4)
8.(5)返回公钥私钥(pk＝(a,e),sk＝s)
9.加密阶段：
10.(1)
11.(2)
12.(3)
13.(4)
14.(5)
15.(6)返回密文c：＝(c1,c2)
16.解密阶段：
17.(1)c：＝(c1,c2)
18.(2)返回
19.其中，r
q,p
(x)表示距离p(xmod)/最近的整数，表示私钥坐标满足的概率分布，表示临时私钥坐标满足的概率分布，表示错误向量坐标满足的概率分布。在通常的大多数参数下，这样的加密方案以一定概率存在解密错误的情形
[2][3][4][5]
。
[0020]
通过以此类加密算法为基础，可构造密钥封装机制、ind-cca安全的加密体制、密钥交换协议等。攻击者的策略之一是根据构造解密错误的密文，通过解密错误的泄露密钥信息
[7]
。peter schwabe等
[3]
给出了一种攻击者构造解密错误的策略并通过该策略初步估
计了攻击者的计算量。
[0021]
但是，现有估算策略的准确度可能受到一些因素影响而未能贴切地反映攻击者得到解密出错密文的计算量，存在高估攻击成本的可能性，主要因素在于：原攻击策略未考虑公钥压缩与密文压缩的情况，也未分析上述e3的影响，但是e3对解密错误率的影响是显著的。
[0022]
参考文献：
[0023]
[1]national institute of standards and technology-nist,post-quantum cryptography pqc。
[0024]
[2]nist,post-quantum cryptography pqc round 3submissions。
[0025]
[3]peter schwabe et al.,crystals cryptographic suite for algebraic lattices。
[0026]
[4]d’anvers,jp.,karmakar,a.,sinha roy,s.,vercauteren,f.(2018).saber:module-lwr based key exchange,cpa-secure encryption and cca-secure kem.in:joux,a.,nitaj,a.,rachidi,t.(eds)progress in cryptology
–
africacrypt 2018.africacrypt 2018.lecture notes in computer science(),vol 10831.springer,cham。
[0027]
[5]erdem alkim et al.,frodokem,practical quantum-secure key encapsulation from generic lattices。
[0028]
[6]r.lindner and c.peikert.better key sizes(and attacks)for lwe-based encryption.in ct-rsa,pages 319
–
339.2011。
[0029]
[7]d’anvers,jp.,guo,q.,johansson,t.,nilsson,a.,vercauteren,f.,verbauwhede,i.(2019).decryption failure attacks on ind-cca secure lattice-based schemes.in:lin,d.,sako,k.(eds)public-key cryptography
–
pkc 2019.pkc 2019.lecture notes in computer science(),vol 11443.springer,cham。


技术实现要素：

[0030]
本发明旨在提供一种格基加密算法抵抗解密错误攻击能力的估算方法，以解决现有技术存在的如下问题：(1)在估量攻击成本时未纳入公钥压缩与密文压缩的导致的影响；(2)在估算攻击成本时未纳入加密时e3对解密错误概率以及攻击计算的影响。这些因素可能高估或低估解密错误攻击的成本，从而可能降低攻击者得到解密出错密文的计算量的准确度。
[0031]
本发明提供的一种格基加密算法抵抗解密错误攻击能力的估算方法，包括如下步骤：
[0032]
步骤1：计算公钥压缩和密文压缩产生的扰动的分布表；
[0033]
步骤2：根据分布表统计计算私钥、临时私钥以及错误向量坐标满足的概率分布的均值与方差；
[0034]
步骤3：遍历格基加密算法加密阶段中错误向量坐标满足的概率分布的取值，计算固定每个明文装载单元的扰动取值对应的攻击者计算成本以及攻击策略；
[0035]
步骤4：根据攻击者计算成本以及攻击策略获取解密错误攻击的计算量估计值以
及攻击策略。
[0036]
在一些优选的实施方案中，步骤1中计算公钥压缩和密文压缩产生的扰动的分布表的方法包括：
[0037]
对i＝1,2,3，分别计算上概率分布的分布表，在的概率取值为：
[0038][0039]
其中，表示距离pix/q最近的整数；表示距离最近的整数，card(s)表示集合s的元素个数；表示模数q的剩余类环。
[0040]
在一些优选的实施方案中，步骤2中统计计算包括：
[0041]
统计计算私钥坐标满足的概率分布的均值与方差
[0042]
统计计算临时私钥坐标满足的概率分布的均值与方差
[0043]
统计计算错误向量坐标满足的概率分布的均值与方差
[0044]
统计计算错误向量坐标满足的概率分布的均值与方差
[0045]
统计计算错误向量坐标满足的概率分布的均值与方差
[0046]
在一些优选的实施方案中，步骤3包括如下子步骤：
[0047]
步骤3.1：检测格基加密算法解密正确与错误的判定临界值b；
[0048]
步骤3.2：检测格基加密算法操作的向量空间维数n；
[0049]
步骤3.3：根据判定临界值b和格基加密算法操作的向量空间维数n，计算攻击成本期望值函数；
[0050]
步骤3.4：利用攻击成本期望值函数计算并返回错误向量坐标满足的概率分布固定取值为z所对应的攻击者计算成本以及攻击策略
[0051]
在一些优选的实施方案中，步骤3.3中计算攻击成本期望值函数的方法包括：
[0052][0053]
在变量λs≥1与λe≥1的条件下，在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数，erfc表示补余误差函数。
[0054]
在一些优选的实施方案中，步骤3.3中计算攻击成本期望值函数的方法包括：
[0055]
步骤3.3.1：根据判定临界值b计算格基加密算法解密正确与错误的区间边界值：
[0056]bl
＝b+++miny
[0057]br
＝b+++maxy
[0058]
其中，min与max分别是概率分布能达到的最小值与最大值；
[0059]
步骤3.3.2：计算攻击成本期望值逼近函数：
[0060][0061]
在变量λs≥1与λe≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数。
[0062]
在一些优选的实施方案中，步骤3.3中计算攻击成本期望值函数的方法包括：
[0063]
步骤3.3.1：根据判定临界值b计算格基加密算法解密正确与错误的区间边界值：
[0064]bl
＝b+++miny
[0065]
其中，min是概率分布能达到的最小值；
[0066]
步骤3.3.2：计算攻击成本期望值逼近函数：
[0067][0068]
在变量λs≥1与λe≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数。
[0069]
在一些优选的实施方案中，步骤3.3中计算攻击成本期望值函数的方法包括：
[0070]
步骤3.3.1：根据判定临界值b计算格基加密算法解密正确与错误的区间边界值：
[0071]br
＝b+++maxy
[0072]
其中，max分别是概率分布能达到的最大值；
[0073]
步骤3.3.2：计算攻击成本期望值逼近函数：
[0074][0075]
在变量λs≥1与λe≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数。
[0076]
在一些优选的实施方案中，步骤3.3中计算攻击成本期望值函数的方法包括：
[0077]
计算攻击成本期望值下界函数：
[0078][0079]
在变量λs≥1与λe≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数，erfc表示补余误差函数。
[0080]
在一些优选的实施方案中，步骤3.3中计算攻击成本期望值函数的方法包括：
[0081]
计算攻击成本期望值下界函数：
[0082][0083]
在变量λs≥1与λe≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数，erfc表示补余误差函数。
[0084]
在一些优选的实施方案中，步骤4中根据攻击者计算成本以及攻击策略获取解密错误攻击的计算量估计值以及攻击策略的方法包括：
[0085]
根据步骤3获取的攻击者计算成本以及攻击策略，搜索概率分布取值的子集合
s0使得在s＝s0时候函数：
[0086][0087]
取到最小值，即：
[0088][0089]
获取解密错误攻击的计算量估计值以及攻击策略：
[0090]
以cost(s0)/作为衡量解密错误攻击的计算量，其中，d是一次加解密装载明文的单元个数；
[0091]
攻击者的攻击策略为s0与即攻击者在加密阶段搜索合适数据使得存在e3的取值z0位于集合s0内，同时满足加密阶段向量s2的长度不短于且加密阶段向量e2的长度不短于其中，ns表示向量s2的维数，ne表示向量e2的维数。
[0092]
在一些优选的实施方案中，步骤4中根据攻击者计算成本以及攻击策略获取解密错误攻击的计算量估计值以及攻击策略的方法包括：
[0093]
根据步骤3获取的攻击者计算成本以及攻击策略，找到z0使得概率分布固定取值为z0时攻击成本为最小值，即
[0094]
以最小值作为衡量解密错误攻击的计算量，其中，d是一次加解密装载明文的单元个数；
[0095]
攻击者的攻击策略为即攻击者在加密阶段搜索合适数据使得存在e3的取值为z0，同时满足加密阶段向量s2的长度不短于且加密阶段向量e2的长度不短于其中，ns表示向量s2的维数，ne表示向量e2的维数。
[0096]
综上所述，由于采用了上述技术方案，本发明的有益效果是：
[0097]
1、本发明在估量攻击成本的计算法则中引入攻击者无法控制的公钥压缩与密文压缩导致的影响，能更确切反映实际攻击需考虑的因素。
[0098]
2、由于加密时明文对应数据单元的扰动数据对解密错误概率具有显著影响，因此本发明在估算攻击成本时引入该扰动数据以考察其对攻击者计算量的影响。本发明尽可能考虑到相关要素，以期更确切地估计解密错误攻击的成本。
附图说明
[0099]
为了更清楚地说明本发明实施例的技术方案，下面将对实施例中的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限
定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0100]
图1为本发明实施例中格基加密算法抵抗解密错误攻击能力的估算方法的流程图。
[0101]
图2为本发明实施例中固定明文装载单元扰动取值计算攻击成本及攻击策略的流程图。
具体实施方式
[0102]
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
[0103]
因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0104]
实施例
[0105]
如图1所示，本实施例提出一种格基加密算法抵抗解密错误攻击能力的估算方法，包括如下步骤：
[0106]
步骤1：计算公钥压缩和密文压缩产生的扰动的分布表。具体的，对i＝1,2,3，分别计算上概率分布的分布表，在的概率取值为：
[0107][0108]
其中，表示距离pix/q最近的整数；表示距离最近的整数，card(s)表示集合s的元素个数；表示模数q的剩余类环，常取代表元{0,1,
…
,q-1}或{-[q/2],
…
,[(q-1)/2]}。
[0109]
步骤2：根据分布表统计计算私钥、临时私钥、错误向量等坐标满足的概率分布的均值与方差。具体包括：
[0110]
统计计算私钥坐标满足的概率分布的均值与方差
[0111]
统计计算临时私钥坐标满足的概率分布的均值与方差
[0112]
统计计算错误向量坐标满足的概率分布的均值与方差
[0113]
统计计算错误向量坐标满足的概率分布的均值与方差
[0114]
统计计算错误向量坐标满足的概率分布的均值与方差
[0115]
步骤3：遍历格基加密算法加密阶段中错误向量坐标满足的概率分布的取值，计算概率分布固定取值为z所对应的攻击者计算成本以及攻击策略。具体包括如下子步骤：
[0116]
步骤3.1：检测格基加密算法解密正确与错误的判定临界值b；通常b＝q/2
w+1
附近的整数，其中，q为模数，w为每个单元装载的明文比特数；
[0117]
步骤3.2：检测格基加密算法操作的向量空间维数n；
[0118]
步骤3.3：根据判定临界值b和格基加密算法操作的向量空间维数n，计算攻击成本期望值函数；
[0119]
步骤3.4：利用攻击成本期望值函数计算并返回错误向量坐标满足的概率分布固定取值为z所对应的攻击者计算成本以及攻击策略
[0120]
步骤3.3可以采用如下几种方式实现：
[0121]
方式一，步骤3.3中计算攻击成本期望值函数的方法包括：
[0122][0123]
在变量λs≥1与λe≥1的条件下，在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数，erfc表示补余误差函数(complementary error function)。
[0124]
方式二，步骤3.3中计算攻击成本期望值函数的方法包括：
[0125]
步骤3.3.1：根据判定临界值b计算格基加密算法解密正确与错误的区间边界值：
[0126]bl
＝b+++miny
[0127]br
＝b+++maxy
[0128]
其中，min与max分别是概率分布能达到的最小值与最大值；
[0129]
步骤3.3.2：计算攻击成本期望值逼近函数：
[0130][0131]
在变量λs≥1与λe≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数。
[0132]
方式三，步骤3.3中计算攻击成本期望值函数的方法包括：
[0133]
步骤3.3.1：根据判定临界值b计算格基加密算法解密正确与错误的区间边界值：
[0134]bl
＝b+z+m+miny
[0135]
其中，miny是概率分布能达到的最小值；
[0136]
步骤3.3.2：计算攻击成本期望值逼近函数：
[0137][0138]
在变量λs≥1与λe≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数。
[0139]
方式四，步骤3.3中计算攻击成本期望值函数的方法包括：
[0140]
步骤3.3.1：根据判定临界值b计算格基加密算法解密正确与错误的区间边界值：
[0141]br
＝b+z+m+maxy
[0142]
其中，maxy分别是概率分布能达到的最大值；
[0143]
步骤3.3.2：计算攻击成本期望值逼近函数：
[0144][0145]
在变量λs≥1与λe≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数。
[0146]
方式五，步骤3.3中计算攻击成本期望值函数的方法包括：
[0147]
计算攻击成本期望值下界函数：
[0148]
[0149]
在变量λs≥1与λe≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数，erfc表示补余误差函数(complementary error function)。
[0150]
方式六，步骤3.3中计算攻击成本期望值函数的方法包括：
[0151]
计算攻击成本期望值下界函数：
[0152][0153]
在变量λs≥1与λe≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数，erfc表示补余误差函数(complementary error function)。
[0154]
步骤4：根据攻击者计算成本以及攻击策略获取解密错误攻击的计算量估计值以及攻击策略。
[0155]
步骤4可以采用如下两种方式实现：
[0156]
方式一：
[0157]
根据步骤3获取的攻击者计算成本以及攻击策略，搜索概率分布取值的子集合s0使得在s＝s0时候函数：
[0158][0159]
取到最小值，即：
[0160][0161]
获取解密错误攻击的计算量估计值以及攻击策略：
[0162]
以cost(s0)/d作为衡量解密错误攻击的计算量，其中，d是一次加解密装载明文的单元个数；
[0163]
攻击者的攻击策略为s0与即攻击者在加密阶段搜索合适数据使得存在e3的取值z0位于集合s0内，同时满足加密阶段向量s2的长度不短于
(这里ns表示向量s2的维数)且加密阶段向量e2的长度不短于(这里ne表示向量e2的维数)。
[0164]
方式二：
[0165]
根据步骤3获取的攻击者计算成本以及攻击策略，找到z0使得概率分布固定取值为z0时攻击成本为最小值，即
[0166]
以最小值作为衡量解密错误攻击的计算量，其中，d是一次加解密装载明文的单元个数；
[0167]
攻击者的攻击策略为即攻击者在加密阶段搜索合适数据使得存在e3的取值为z0，同时满足加密阶段向量s2的长度不短于(这里ns表示向量s2的维数)且加密阶段向量e2的长度不短于(这里ne表示向量e2的维数)。
[0168]
进一步的，在其他实施方式中，在本发明实施例技术方案提供的格基加密算法抵抗解密错误攻击能力的估算方法中，所使用的解密正确与错误的判定临界值b是通常的情况，具体方案中可对应调整或做更精细的刻画，例如分为上界和下界分别精细刻画，本发明的技术方案仍然适用。
[0169]
进一步的，在其他实施方式中，在本发明实施例技术方案提供的格基加密算法抵抗解密错误攻击能力的估算方法中，计量攻击计算成本按照计算复杂度量统计，也可以调整按照计算量(关于底为2)的对数进行操作求解，本发明的技术方案仍然适用。
[0170]
进一步的，在其他实施方式中，在本发明实施例技术方案提供的格基加密算法抵抗解密错误攻击能力的估算方法中，可根据实际精度需要选择erfc表示补余误差函数(complementary error function)的近似逼近或者上(下)界函数替换，本发明的技术方案仍然适用。
[0171]
通过上述可知，针对lindner-peikert-regev类型格基加密算法，本发明提出一种格基加密算法抵抗解密错误攻击能力的估算方法，对攻击者在加密阶段主动搜索长度较大的临时私钥以及错误向量以期更容易获取解密错误的密文，该估算方法能够量化这种攻击的概率意义下的最低计算量以及对应的攻击策略。并且，本发明提供的方法可计算，具有可行性。与先前已有的方法比较，本发明具有如下新的特点和有益之处：
[0172]
1、本发明在估量攻击成本的计算法则中引入攻击者无法控制的公钥压缩与密文压缩导致的影响，能更确切反映实际攻击需考虑的因素。
[0173]
2、由于加密时明文对应数据单元的扰动数据对解密错误概率具有显著影响，因此本发明在估算攻击成本时引入该扰动数据以考察其对攻击者计算量的影响。本发明尽可能考虑到相关要素，以期更确切地估计解密错误攻击的成本。
[0174]
以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，包括如下步骤：步骤1：计算公钥压缩和密文压缩产生的扰动的分布表；步骤2：根据分布表统计计算私钥、临时私钥以及错误向量坐标满足的概率分布的均值与方差；步骤3：遍历格基加密算法加密阶段中错误向量坐标满足的概率分布的取值，计算固定每个明文装载单元的扰动取值对应的攻击者计算成本以及攻击策略；步骤4：根据攻击者计算成本以及攻击策略获取解密错误攻击的计算量估计值以及攻击策略。2.根据权利要求1所述的格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，步骤1中计算公钥压缩和密文压缩产生的扰动的分布表的方法包括：对i＝1,2,3，分别计算上概率分布的分布表，在的概率取值为：其中，表示距离q
i
x/p最近的整数；表示距离最近的整数，card(s)表示集合s的元素个数；表示模数q的剩余类环。3.根据权利要求2所述的格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，步骤2中统计计算包括：统计计算私钥坐标满足的概率分布的均值与方差统计计算临时私钥坐标满足的概率分布的均值与方差统计计算错误向量坐标满足的概率分布的均值与方差统计计算错误向量坐标满足的概率分布的均值与方差统计计算错误向量坐标满足的概率分布的均值与方差4.根据权利要求3所述的格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，步骤3包括如下子步骤：步骤3.1：检测格基加密算法解密正确与错误的判定临界值b；步骤3.2：检测格基加密算法操作的向量空间维数n；步骤3.3：根据判定临界值b和格基加密算法操作的向量空间维数n，计算攻击成本期望值函数；步骤3.4：利用攻击成本期望值函数计算并返回错误向量坐标满足的概率分布固定取值为z所对应的攻击者计算成本以及攻击策略5.根据权利要求4所述的格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，步骤3.3中计算攻击成本期望值函数的方法包括：
在变量λ
s
≥1与λ
e
≥1的条件下，在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数，erfc表示补余误差函数。6.根据权利要求4所述的格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，步骤3.3中计算攻击成本期望值函数的方法包括：步骤3.3.1：根据判定临界值b计算格基加密算法解密正确与错误的区间边界值：b
l
＝b+++minyb
r
＝b+++maxy其中，min与max分别是概率分布能达到的最小值与最大值；步骤3.3.2：计算攻击成本期望值逼近函数：在变量λ
s
≥1与λ
e
≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数。7.根据权利要求4所述的格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，步骤3.3中计算攻击成本期望值函数的方法包括：步骤3.3.1：根据判定临界值b计算格基加密算法解密正确与错误的区间边界值：b
l
＝b+++miny其中，min是概率分布能达到的最小值；步骤3.3.2：计算攻击成本期望值逼近函数：
在变量λ
s
≥1与λ
e
≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数。8.根据权利要求4所述的格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，步骤3.3中计算攻击成本期望值函数的方法包括：步骤3.3.1：根据判定临界值b计算格基加密算法解密正确与错误的区间边界值：b
r
＝b+++maxy其中，max分别是概率分布能达到的最大值；步骤3.3.2：计算攻击成本期望值逼近函数：在变量λ
s
≥1与λ
e
≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数。9.根据权利要求4所述的格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，步骤3.3中计算攻击成本期望值函数的方法包括：计算攻击成本期望值下界函数：在变量λ
s
≥1与λ
e
≥1的条件下在与处取到最小值其中，
exp表示指数函数，log表示自然对数函数，erfc表示补余误差函数。10.根据权利要求4所述的格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，步骤3.3中计算攻击成本期望值函数的方法包括：计算攻击成本期望值下界函数：在变量λ
s
≥1与λ
e
≥1的条件下在与处取到最小值其中，其中，exp表示指数函数，log表示自然对数函数，erfc表示补余误差函数。11.根据权利要求4-10任一项所述的格基加密算法抵抗解密错误攻击能力的估算方法，其特征在于，步骤4中根据攻击者计算成本以及攻击策略获取解密错误攻击的计算量估计值以及攻击策略的方法包括：根据步骤3获取的攻击者计算成本以及攻击策略，搜索概率分布d
e3
取值的子集合s0使得在s＝s0时候函数：取到最小值，即：获取解密错误攻击的计算量估计值以及攻击策略：以cost(s0)/作为衡量解密错误攻击的计算量，其中，d是一次加解密装载明文的单元个数；攻击者的攻击策略为s0与即攻击者在加密阶段搜索合适数据使得存在e3的取值z0位于集合s0内，同时满足加密阶段向量s2的长度不短于且加密阶段向量e2的长度不短于其中，n
s
表示向量s2的维数，n
e
表示向量e2的维数。12.根据权利要求4-10任一项所述的格基加密算法抵抗解密错误攻击能力的估算方
法，其特征在于，步骤4中根据攻击者计算成本以及攻击策略获取解密错误攻击的计算量估计值以及攻击策略的方法包括：根据步骤3获取的攻击者计算成本以及攻击策略，找到z0使得概率分布固定取值为z0时攻击成本为最小值，即以最小值作为衡量解密错误攻击的计算量，其中，d是一次加解密装载明文的单元个数；攻击者的攻击策略为即攻击者在加密阶段搜索合适数据使得存在e3的取值为z0，同时满足加密阶段向量s2的长度不短于且加密阶段向量e2的长度不短于其中，n
s
表示向量s2的维数，n
e
表示向量e2的维数。

技术总结
本发明提供一种格基加密算法抵抗解密错误攻击能力的估算方法，包括：步骤1：计算公钥压缩和密文压缩产生的扰动的分布表；步骤2：根据分布表统计计算私钥、临时私钥以及错误向量坐标满足的概率分布的均值与方差；步骤3：遍历格基加密算法加密阶段中错误向量坐标满足的概率分布的取值，计算固定每个明文装载单元的扰动取值对应的攻击者计算成本以及攻击策略；步骤4：根据攻击者计算成本以及攻击策略获取解密错误攻击的计算量估计值以及攻击策略。本发明在估量攻击成本的计算法则中引入攻击者无法控制的公钥压缩与密文压缩导致的影响，能更确切反映实际攻击需考虑的因素，并且在估算攻击成本时引入该扰动数据以考察其对攻击者计算量的影响。计算量的影响。计算量的影响。


技术研发人员：王林 曹越 黄宝盛 张文政 贾惠文 王洋 李海波 杜薇 黄益盛 裴升 周波
受保护的技术使用者：中国电子科技集团公司第三十研究所
技术研发日：2023.05.12
技术公布日：2023/7/27