CN112865973A

CN112865973A - 基于格的加密密钥和数字签名的生成方法

Info

Publication number: CN112865973A
Application number: CN202011357550.0A
Authority: CN
Inventors: 千丁熙; 孙容河; 金杜衡
Original assignee: Encryption Laboratory Co; Seoul National University Industry Foundation
Current assignee: Encryption Laboratory Co; Seoul National University Industry Foundation; SNU R&DB Foundation; Crypto Lab Inc
Priority date: 2019-11-28
Filing date: 2020-11-27
Publication date: 2021-05-28
Also published as: EP3829102A1; JP7183242B2; US11522718B2; JP2021086158A; US20210167969A1

Abstract

公开了一种生成数字签名信息的方法，包括：接收消息；计算特解，其中在公钥中计算特解的结果变为在接收到的消息中预定的经函数处理的输出值；以及使用计算出的特解生成用于消息的数字签名信息，其中，使用具有以2的幂和3或更大数字的整数相乘表示的维度(d)的环来计算公钥。

Description

基于格的加密密钥和数字签名的生成方法

相关申请的交叉引用

本申请基于并要求享有于2020年11月6日在韩国知识产权局提交的韩国专利申请10-2020-0147995的优先权，该申请要求享有于2019年11月28日在韩国知识产权局提交的韩国专利申请10-2019-0155709的权益，其公开内容通过引用整体并入本文。

技术领域

与本申请一致的装置和方法涉及基于格生成加密密钥和数字签名的方法，并且更具体地涉及基于能够确保参数灵活性的格生成加密密钥和数字签名的方法。

背景技术

众所周知，加密方法使得即使在发送和接收消息的过程中第三方窃取了该消息，也无从知道数字消息(数据)的内容。加密方法可大致分为对称密钥加密方法和非对称密钥加密方法。

对称密钥加密方法是其中加密的密钥和解密的密钥彼此相同的方法，而非对称密钥加密方法是其中加密的密钥和解密的密钥的方法彼此不同的方法。在非对称密钥加密方法中，通常可使用接收方的公钥对消息进行加密，并且接收方可使用接收方的私钥对加密消息进行解密。

在非对称密钥加密方法中，可在消息上生成数字签名以证明消息的完整性。通常可通过使用发送方的私钥对消息的哈希值(完整性校验值)进行加密来生成数字签名。

接收到加密消息及其数字签名信息的接收方可通过使用接收方的私钥执行解密来获得消息，并且可通过使用发送方的公钥来解密数字签名信息以获得消息的完整性校验值。通过对所获得的消息进行哈希计算并确定其输出幂值是否与完整性验证结果的值相同，接收方可确认消息是否未经伪造或更改。

常规上，RSA方案、Elgamal方案等已被广泛用于生成非对称加密密钥。然而，由于量子计算技术的进步，这些常规加密方法非常可能很容易失效。

已经提出了陷门格方法作为用于量子计算技术的安全方法。

Leo Ducas等人在2014年发表的论文“NTRU格上的基于身份的高效加密(Efficient Identity-Based Encryption over NTRU Lattices)”中提出了一种基于数论研究单元(NTRU)格的方法，该方法是使用基于身份的加密来生成私钥和公钥的方法之一。

相关技术领域中的密钥生成过程可在多项式环

中执行。但是，在相关技术领域中，总维数需要是2的幂，而如果不是，其安全性尚未证明，并且参数灵活性受到限制。例如，与具有2¹⁰的值的维数的情况相比，为了提高安全性，要求维数具有为2¹¹的值。但是，在那种情况下，维数的值从1024迅速增加为2048，从而大大增加了生成密钥所需的运算量或运算时间。

发明内容

本申请的实施例克服了以上缺点以及上面未描述的其他缺点。另外，不是必需要本申请来克服上述缺点，并且本申请的实施例可以不克服上述任何问题。

本申请提供了基于格生成加密密钥和数字签名的方法，其消除了参数僵化性，从而使得能够灵活地选择参数并同时确保其稳定性。

根据本申请的实施例，一种生成数字签名的方法包括：接收消息；计算特解，其中在公钥中计算特解的结果变为在接收到的消息中预定的经函数处理的输出值；以及使用计算出的特解生成用于该消息的数字签名信息，其中，可使用具有维度(d)的环来计算公钥，该维度(d)由2的幂和3或更大数字的整数相乘表示。

在这种情况下，在数字签名信息的生成中，可通过使用私钥对计算出的特解进行归约来生成数字签名信息。

同时，产生数字签名的方法还可以包括：计算陷门(T)；以及确定计算出的陷门(T)作为私钥。

在这种情况下，生成数字签名的方法还可包括：通过在环中抽样彼此线性无关的元素

来计算第一随机矩阵(S)，其中列数比维度小1，且行数等于维数；计算第二随机矩阵(A)，其中列数等于维数，且行数为1；以及基于第二随机矩阵(A)计算公钥。

在这种情况下，在第二随机矩阵的计算中，可通过从矩阵

中排除第i行来计算d×d矩阵(M_i)，并且可将(-1)^i-1·det(M_i)确定为行列式(a_i)，从而计算

来作为第二随机矩阵。

在这种情况下，陷门(T)的计算可包括对满足关系

的向量

的抽样，其中

被计算为陷门(T)。

在这种情况下，在向量的抽样中，可通过使用元素

对向量的各元素进行归约而输出结果向量值。

在这种情况下，在向量的抽样中，可通过从向量的元素

中减去元素

的恒定倍数来移除元素的方向分量，以对向量的各元素进行归约。

同时，在向量的抽样中，可使用扩展欧几里得算法来对向量的各元素进行归约。

同时，预定函数处理可以是哈希处理。

根据本申请的另一实施例，一种验证消息的方法包括：接收消息和数字签名信息；校验在公钥中对接收到的数字签名信息的计算的结果是否变为消息中预定的经函数处理的输出值；确定接收到的数字签名信息是否具有小于预定参数的值；以及基于校验结果和确定结果来验证接收到的消息，其中，可使用具有维度(d)的环来计算公钥，该维度(d)由2的幂和3或更大数字的整数相乘表示。

在这种情况下，预定函数处理可以是哈希处理。

根据本申请的另一实施例，一种计算装置包括：存储器，其存储至少一条指令；以及执行至少一条指令的处理器，其中，处理器可计算特解，其中在公钥中计算特解的结果变为消息中预定的经函数处理的输出值，并使用计算出的特解生成用于该消息的数字签名信息，并且，可使用具有维度(d)的环来计算公钥，该维度(d)由2的幂和3或更大数字的整数相乘表示。

在这种情况下，处理器可使用私钥来对计算出的特解进行归约，并且通过使用经归约的特解来生成数字签名信息。

同时，当接收到消息和数字签名信息时，处理器可校验在公钥中对接收到的数字签名信息的计算的结果是否变为消息中预定的经函数处理的输出值，确定接收到的数字签名信息是否具有小于预定参数的值，并且基于校验结果和确定结果来验证接收到的消息。

根据本申请的另一实施例，提供了一种非暂时性计算机可读记录介质，其包括执行产生数字签名的方法的程序，其中，所述方法包括：接收消息；计算特解，其中在公钥中计算特解的结果变为在接收到的消息中预定的经函数处理的输出值；以及使用计算出的特解生成用于消息的数字签名信息，并且，可使用具有维度(d)的环来计算公钥，该维度(d)由2的幂和3或更大数字的整数相乘表示。

根据如上所述的本申请的各种实施例，可基于陷门格灵活地选择参数以满足生成加密密钥所需的安全性，即，总维数可使用整数而不是2的幂。

此外，可自由选择精确适合安全性的参数，且因此可减小所有公钥、私钥和加密文本的大小，同时提高加密***的整体效率。

本申请的附加和/或其他效果和优点部分地在下面的描述中阐述，并且部分地从描述中显而易见，或者可通过本申请的实践而获知。

附图说明

通过参考附图描述本申请的某些实施例，本申请的以上和/或其他方面将更加明显，其中：

图1是示出根据本申请的生成私钥和公钥的操作的流程图；

图2是示出根据本申请的使用私钥生成数字签名的操作的流程图；

图3是示出根据本申请的使用生成的数字签名信息的消息验证处理的流程图；

图4是示出本申请的随机矩阵的结构的图。

图5是示出根据本申请的实施例的网络***的结构的图；以及

图6是示出根据本申请的实施例的计算装置的配置的框图。

具体实施方式

在下文中，参考附图详细描述本申请。可在本申请中执行的信息(数据)发送过程中根据需要使用加密/解密，并且本文和权利要求书中描述信息(数据)发送过程的所有表达都需要解释为包括加密/解密，即使没有特别提及。在公开中，诸如“从A到B的发送(传送)”和“从B到A的接收”之类的表达还可包括在其间***具有另一种介质而被执行的发送(传送)或接收，并且不一定表示仅从A到B的直接发送(传送)或接收。

需要理解的是，在本说明书的描述中，对每个步骤的顺序没有限制，除非在逻辑上和时间上要求在其后续步骤之前执行先前的步骤。即，除了这样的例外情况，即使在被描述为先前步骤的过程之前执行被描述为后续步骤的过程，本申请的本质也不受影响，并且本申请的范围也需要无关步骤的顺序而被限定。另外，本申请中的“A或B”可被定义为不仅意味着选择性地指示A和B中的任何一个，而且还包括A和B两者。另外，本申请中的术语“包括”可全面地包括除了列出的包括元素之外的其他元素。

本申请中的术语“模块”或“单元”可以是执行其功能的通用硬件或软件，或者其可以是硬件和软件的逻辑组合。

本申请仅描述了描述本申请所必需的必要部件，并且没有提及与本申请的本质无关的部件。另外，不应排他地解释为本申请仅包括所提及的要素，而应非排他地解释为本申请可包括其他要素。

本申请可由诸如计算机、服务器或智能电话这样的可执行电子计算的移动设备等中的电子计算装置来执行。在计算机程序通过已知的编码方法和/或被设计为适合于本申请的编码以执行运算和计算的情况下，下面将描述的在本申请的每个步骤中执行的数学运算和计算可被实现为另一运算。执行本申请的计算机程序可被存储在计算机可读记录介质中。

此外，本申请中的术语“值”可被全面地定义为包括可用诸如向量、矩阵和多项式以及标量值这样的数学表达式来表示的所有值。

在本申请中，通过对特定值执行加密、哈希等运算来获得预定值可以被定义为包括对特定值、以及特定值的修改值(例如，通过其中在特定值上另外运算预定值或基于预定规则而改变特定值的过程而计算的另一值)的加密、哈希等运算。

下面将描述的在本申请的每个步骤中执行的数学运算和计算，可通过已知的编码方法和/或设计为适合于本申请的编码来实现为计算机运算，以执行运算和计算。

在本申请的附图中示出的装置的每个部件都可具有可执行本申请所意图的功能的任何形状、大小和维度、以及在附图中明确示出的其形状、大小和维度。

以下描述的特定公式是在可能的替代方案中示例性地描述的公式，并且本申请的范围不应解释为限于本申请中提及的公式。

为了便于解释，本申请使用如下确定的符号。

a←D：基于分布(D)选择元素(a)。

s1，s2∈R：S1和S2中的每个均为集合(R)中的元素。

mod(q)：模通过元素(q)来计算。

内部值取整。

在下文中，参考附图详细描述本申请的各种实施例。

本申请提出了被称为模块化NTRU(MNTRU)格的数论研究单元(NTRU)格的广义概念，其可以解决基于NTRU的加密的维度灵活性。与现有的NTRU陷门相比，此MNTRU格可显示出更有效的陷门的产生。在下文中，可首先基于MNTRU陷门应用新的基于身份的加密。

首先描述用于泛化NTRU陷门的操作。

类似于从环LWE到模块LWE的泛化，R²中的NTRU格的上下文可以泛化为高阶R^d的MNTRU格。

首先，如果从矩阵

抽样了两个小多项式(f，g)，假定f是环中的逆，则将NTRU实例定义为

和

此处，可满足以下公式1。

[公式1]

(1，h)·S_NTRU≡0mod q

在此，h是NTRU实例，且S_NTRU是矩阵。

此外，可以如下面的公式2定义NTRU格。

[公式2]

在此，A_NTRU是NTRU格，且q是质数。

此内容可被理解为Z²ⁿ中的整数格，包括不常见的短向量(g和-f)，并且f和g可求得F和G∈R，它们满足下面的公式3，从而产生A_NTRU陷门的基础

[公式3]

gF-fG＝q

在此，g和f是短向量，F和G是矩阵，且q是质数。

NTRU公式与下面的公式4相同。

[公式4]

在此，A是多项式的反循环矩阵变换。

这样的框架可对d≥2情况进行泛化。为此，可首先在S_MNTRU∈R^d×(d-1)中抽样具有较小系数的元素，并且可构造满足以下公式5的向量h_MNTRU＝(h₁,…,h_d)∈R_q ^d-1。

[公式5]

(1，h_MNTRU)·S_MNTRU≡0mod q

基于该公式，可如下面的公式6中那样定义n维MNTRU格。

[公式6]

在此，h＝(h₁,...,h_d-1)可由det_i/det₁确定，并且mod q是子矩阵的行列式，其中det_i是S_MNTRU的(d-1)×(d-1)。

基于该内容，可如公式7中那样计算本申请的陷门。

[公式7]

在此，F是

代表MNTRU公式。

在下文中，参照图4描述了能够产生上述陷门的格结构。

图4是示出本申请的随机矩阵的结构的图。

参考图4，在根据本申请的格结构中使用第一随机矩阵(S)和第二随机矩阵(A)。

在第一随机矩阵(S)中，列数为d-k(即d-1)，行数(d)为1，且在第二随机矩阵(A)中，列数为是(d)，并且行(k)数是1。在此，列数(d)可以是大于2的预定整数，并且与现有技术不同，可将整个维度确定为2的幂以外的其他整数，从而增加了参数的灵活性。

第一随机矩阵(S)和第二随机矩阵(A)可满足图4所示的关系。

图5示出了根据本申请的执行基于格的计算过程的环境。

图5是示出根据本申请的实施例的网络***的结构的图。

参考图5，网络***可包括用户终端10以及密钥生成服务器20及数字签名验证服务器40，并且每个部件都可通过数据通信网络30彼此连接。

数据通信网络30可在各种类型的有线和无线通信网络、广播通信网络、光通信网络和云网络中实现，并且每个装置可以以诸如无线保真(WiFi)、蓝牙、近场通讯(NFC)等方式彼此连接而无需单独的媒介。

密钥生成服务器20可基于格来生成用于加密的各种密钥值。详细地，密钥生成服务器20可首先确定各种参数和环，且然后基于所确定的参数和环来生成公钥和私钥。

在此，该环可由下面的公式8表示。

[公式8]

在此，R是环，Z是系数。在此，环是具有预定系数的多项式的集合，并且可指示其中定义了元素之间的加法和乘法并且加法和乘法是封闭的集合。该多项式环可被称为环。

在此，环是小于元素的第N阶的整数系数多项式环，并且在集合中的元素之间定义了加法和乘法运算。例如，加法运算可被定义为多项式之间的相乘，并且乘法运算可被定义为在执行多项式之间的相乘之后相应元素的mod x^N+1。根据该定义，X^N-1*x是作为多项式相乘的x^N，且对于mod X^N+1，X^N＝-1，因此X^N-1*x＝-1。

[公式9]

在公式9中，环仅是小于第N阶的整数并且具有[0，q-1]内的系数的多项式的集合。加法和乘法运算在该集合中定义，且例如，可定义为对每个系数执行mod q，而同时执行对mod x^N+1的乘法运算。

根据本申请的环具有由2的幂和2或更大的整数相乘表示的维度，并且可使用与这种阶值相对应的格陷门。如上所述，可使用由整数相乘表示的维度。因此，即使在为了增大密钥的安全性而需要增加维度的情况下，也不需要将维度加倍，从而可灵活地选择参数。

密钥生成服务器20可基于上述确定的环来计算第一和第二随机矩阵，并且计算陷门。在此，陷门是特殊私密信息，其允许计算难以独自执行的函数的逆函数。如图4所示，本申请的陷门被用于基于格的加密技术中，且以下参照图1描述其具体的计算操作。

密钥生成服务器20可基于所计算的随机矩阵和陷门来计算公钥和私钥。下面参考图1描述具体密钥生成操作。

此外，密钥生成服务器20可从用户终端10接收加密文本，并且按原样存储该加密文本，而无需执行解密。

同时，图5描述了密钥生成服务器20生成加密所需的密钥，并且用户终端10接收所生成的一些密钥，且然后执行加密操作。然而，取决于环境，可在各种装置中执行密钥生成操作、加密操作和解密操作。

用户终端10可使用由密钥生成服务器20生成的公钥来生成数字签名信息，并且将消息和数字签名信息发送到数字签名验证服务器40。在此，数字签名信息(或数字签名值)是被用于校验消息是否被伪造或篡改的信息。

数字签名验证服务器40可接收消息和数字签名信息，并使用接收到的数字签名信息来验证消息。

用户可通过他/她的用户终端10输入各种信息。输入信息可自己存储在用户终端10中，但是由于诸如存储容量和安全性之类的原因可被发送到外部装置并存储在外部装置中。在图5中，密钥生成服务器20可用于存储这样的信息，并且密钥生成服务器20可用于使用存储在密钥生成服务器20中的一些或全部信息。

用户终端10可从密钥生成服务器20接收加密所需的密钥信息，并且可使用接收到的密钥信息对消息进行加密。例如，用户终端10可从密钥生成服务器20接收公钥，并且通过使用接收到的公钥对消息进行加密来生成加密文本。在此，用户终端10可接收并使用加密所需的小元素和经函数处理的输出值，或者可自己生成并使用加密文本。

另外，用户终端10可将加密文本和数字签名信息发送到数字签名验证服务器40。

此外，数字签名验证服务器40可解密加密文本。例如，用户终端10可使用私钥来解密加密文本，并且密钥生成服务器20可执行解密操作。

此外，数字签名验证服务器40可使用接收到的数字签名信息来验证接收到的消息。

图5示出了一个用户终端，但是可使用多个用户终端。例如，用户终端10可被实现为各种类型的装置，诸如智能电话、平板电脑、游戏机、个人计算机(PC)、膝上型计算机、家庭服务器、自助服务终端等、以及应用了物联网(IoT)功能的家用电器。

图1是示出根据本申请的生成公钥和私钥的操作的流程图。

参考图1，计算第一随机矩阵(S)(100)。例如，可通过对满足下面的公式10的元素值进行抽样来计算第一随机矩阵(S)。详细地，可通过在环中对彼此线性无关的元素

进行抽样来计算其中列数比维数小1并且行数等于维数的第一随机矩阵(S)。

[公式10]

在此，

表示所抽样的元素值，并且所有

值在R_q中彼此线性无关。如果这些值不是彼此线性无关的，则可对元素值进行重新抽样。

然后计算第二随机矩阵(A)(110)。详细地，可通过对随机系数(r)进行抽样并使用与第一随机矩阵的行数相对应的行列式(a_i)和所抽样的随机系数(r)，如以下公式11中所示来计算第二随机矩阵(A)。

[公式11]

r·(a₁，a₂，…a_d)

在此，行列式(a_i)是(-1)^i-1·det(M_i)，且M_i是从矩阵

中除去第i行(M_i)的d×d矩阵。在此，r是随机系数r(∈R_q)。

例如，如果随机系数(r)为a₁ ^-1，则第二随机矩阵(A)可为(1，A₁，...，A_d-1)。

然后可计算陷门(T)(120)。例如，可通过使用第一随机矩阵(S)和新抽样的

如下面的公式12中所示那样来计算陷门(T)。

[公式12]

此处，T是陷门，

是第一随机矩阵(S)的元素值，并且

是从环抽样以满足以下公式13的短向量。另外，“||”表示串接(concatenation)。

[公式13]

在此，det是行列式运算，

是第一随机矩阵(S)的元素值，

是所抽样的短矢量，且q是常数。

以下，描述对短向量

进行抽样的具体方法。

首先，可计算满足

的α_i。在此，可假设gcd(res(a_i)，…res(a_d))且

α_i可通过扩展欧几里得算法来运算。另外，可基于上述计算值如下计算F_i。

[公式14]

这样，在公式15中建立了以下关系。

[公式15]

通过使用

来归约

然后可输出结果值

这种归约表示在移除

的方向分量的同时，从

中减去

的适当的常数倍的过程。这种归约可允许陷门(T)具有较小的尺寸。以整数为例，在F＝(2，5)和f＝(1，2)的情况下，如果将[F，f]和[F-2f，f]相互比较，则可定义相同的列空间，但是随后的归约矩阵的列可具有减小的尺寸。

然后可确定私钥和公钥(130)。详细地，可将计算出的陷门(T)确定为私钥，并且将公钥确定为(A1，…，Ad-1)。

如果以此方式确定了私钥和公钥，则可通过对其应用哈希函数

来公开公钥。

图2是示出根据本申请的使用私钥生成数字签名的操作的流程图。

参考图2，接收要被数字签名的消息(m)(200)。

可计算特解，其中在公钥中计算特解的结果变为在接收到的消息中预定的经函数处理的输出值(210)。详细地，可计算满足As₀＝H(m)的特解

在此，可使用例如高斯消元来计算特解。另外，公钥可以是使用具有由2的幂和3或更大数字的整数相乘表示的维度(d)的环来计算的密钥。

然后可使用计算出的特解来生成用于消息的数字签名信息(220)。详细地，可使用私钥(T)来归约特解s₀，然后可将其结果值

作为消息(m)的数字签名信息输出。如上所述，这样的数字签名信息可满足As＝H(m)。

在此，归约处理可以是使用私钥(T)对小的离散正态分布进行抽样的处理，该离散正态分布为以在集合{s:As＝0}上进行S200操作中计算出的s为中心。详细地，可选择标准偏差(σ)，由高斯抽样器计算(c)，计算小解(s＝(s₀,s₁,…,s_d-1)，其中小解和第二随机矩阵的乘积成为哈希值，并在计算出的小解中输出s作为上述数字签名信息。

数字签名信息可由要向其发送消息的用户终端10生成，并且该数字签名信息可由数字签名验证服务器40进行验证。图5示出了数字签名验证服务器40验证数字签名。然而，接收消息(m)的接收方终端也可验证数字签名，并且本申请的范围不限于执行验证的主体。

图3是示出根据本申请的使用了所生成的数字签名信息的消息验证过程的流程图。

参照图3，执行数字签名验证的主体(例如，数字签名验证服务器40或接收消息(m)的终端)可首先接收数字签名信息(s)(300)。在此，主体可一起接收消息(m)。在此，可从发送数字签名信息的装置或者从另一主体接收消息。

然后可校验在公钥中计算接收的数字签名信息的结果是否变为消息中预定的经函数处理的输出值(310)。详细地，执行数字签名验证的主体可确定结果是否满足As＝H(m)。在此，s是数字签名信息，H()是预定的函数处理，并且例如可以是哈希处理，并且m是消息。另外，A是公钥，其可使用具有以2的幂和3或更大数字的整数相乘表示的维度(d)的环来计算。

然后可确定所接收的数字签名信息是否具有小于预定参数的值(320)。即，可确定数字签名信息s是否具有足够小的尺寸。在此，可考虑验证数字签名信息的尺寸比较对象中失败的可能性、稳定性等，确定预定参数。

可基于校验结果和确定结果来验证接收到的消息。例如，如果两个条件都被满足，则可确定数字签名验证成功(330)；如果不满足，则可确定验证失败(340)。

同时，实施例示出并描述了首先检查是否建立了运算公式，然后可将数字签名信息的尺寸和预定参数彼此进行比较。然而，该方法可以以如下方式实现：首先可将数字签名信息的尺寸和预定参数彼此进行比较，然后可检查是否建立了运算公式。

在图2或3中示出的上述方法可减少生成密钥所需的运算量或运算时间，这是因为可使用由2的幂和整数相乘表示的维度，而无需将维度加倍以提高密钥的安全性。

同时，图2或3中所示的上述方法可被实现为执行每个步骤的程序代码，并且可将其存储在记录介质中并进行分发。在这种情况下，在其上安装记录介质的装置可执行上述加密方法的操作。

该记录介质可以是各种类型的计算机可读介质中的一种，例如只读存储器(ROM)、随机存取存储器(RAM)、存储芯片、存储卡、外部硬盘驱动器、硬盘驱动器、光盘(CD)、数字多功能磁盘(DVD)、磁盘或磁带。

同时，图2和图3示出并描述了生成用于消息的数字签名信息，然后使用生成的数字签名信息执行验证消息的操作。然而，该方法还可以如下方式实现：生成用于加密消息的数字签名信息，即，生成用于加密文本的数字签名，并且执行验证加密文本的操作。

图6是示出根据本申请的实施例的运算装置的配置的框图。

详细地，运算装置可指诸如用户终端这样的执行加密的装置、诸如密钥生成服务器这样的生成用于生成加密文本所需的密钥的装置以及在图5的***中的使用加密文本的装置。这样的计算装置可以是各种装置，例如个人计算机(PC)、膝上型计算机、智能电话、平板电脑或服务器。

参考图6，运算装置600可包括通信装置610、存储器620、显示器630、操作输入装置640和处理器650。

通信装置610可形成为将运算装置600连接到外部装置(未示出)，并且可通过局域网(LAN)和因特网连接到外部装置，或者通过通用串行总线(USB)端口或无线通信(例如，无线保真(WiFi)802.11a/b/g/n、近场通信(NFC)或蓝牙)端口可连接到外部装置。该通信装置610也可被称为收发器。

通信装置610可接收生成加密文本所需的各种密钥。例如，当生成密钥时，通信装置610可接收三个参数(n，q和d)。在此，n是被乘以代表维度的2的幂的值，并且d是整数。因此，2ⁿ*d可以是由相应参数生成的环的维度，而q是十进制值。各种密钥也可通过操作输入装置640被输入。

此外，通信装置610可将其自己生成的密钥发送到外部装置。在此，密钥可以是公钥、私钥等。

此外，通信装置610可从外部装置接收消息，并且可将所生成的加密文本和/或数字签名信息发送到外部装置。

此外，通信装置610可从外部装置接收生成密钥或加密文本所需的各种参数。同时，各种参数可被实现为通过下面将描述的操作输入装置640从用户直接输入。

此外，通信装置610可接收加密文本。在此，通信装置610可一起接收用于加密的文本(或消息)的数字签名信息。

存储器620是用于存储用于驱动运算装置600的操作***(OS)、各种软件、数据等的部件。存储器620可在各种类型的装置中实现，该装置诸如随机存取存储器(RAM)、只读存储器(ROM)、闪存、硬盘驱动器(HDD)、外部存储器、存储卡等，并且不限于此。

存储器620可存储身份信息(或用户信息)。在此，身份信息可以是社会安全号码、电子邮件地址、电话号码、指纹信息、虹膜信息等，并且可在生成用户私钥或加密文本的情况下使用。

此外，存储器620可存储要加密的消息。在此，消息可以是用户引用的各种类型的信用信息和个人信息，也可以是与使用历史有关的信息，诸如用于运算装置600中的位置信息、关于使用互联网花费的时间信息等。

此外，存储器620可存储公钥，并且可存储公钥以及生成私钥所需的各种参数，以及在运算装置600是直接生成公钥的装置的情况下的私钥。

存储器620还可存储在以下描述的过程中生成的加密文本和/或数字签名信息。存储器620还可在加密文本和/或数字签名信息的生成期间存储中间数据等。

存储器620还可存储从外部装置发送的加密文本。另外，存储器620还可存储消息，该消息是对加密文本进行解密的结果。另外，存储器620可存储从外部装置发送的数字签名信息。

显示器630可显示用户界面窗口，以供用户选择运算装置600所支持的功能。例如，显示器630可显示用户界面窗口，以供用户选择运算装置所提供的各种功能。显示器630可以是诸如液晶显示器(LCD)、有机发光二极管(OLED)等的监视器，并且如下所述，可被实现为可同时执行操作输入装置640的功能的触摸屏。

显示器630可显示消息，该消息请求用户输入生成私钥和公钥所需的参数。显示器630还可显示请求用户选择加密目标的消息的用户界面(UI)。例如，显示器630可显示用于用户选择用户身份信息的UI，该用户身份信息用于基于格的基于身份的加密。

同时，加密目标可被实现为由用户直接选择或自动选择。即，即使用户没有直接选择消息，也可自动确定需要加密的个人信息。

操作输入装置640可从用户接收运算装置600的功能选择和用于控制相应功能的命令。例如，操作输入装置640可从用户接收生成私钥和公钥所需的参数。另外，操作输入装置640可从用户接收要加密的确定消息。

处理器650可控制运算装置600中的每个部件。处理器650可由诸如中央处理单元(CPU)或专用集成电路(ASIC)的单个装置来配置，或者可由诸如CPU、图形处理单元(GPU)等多个装置来配置。

如果输入了要发送的消息，则处理器650可将该消息存储在存储器620中。处理器650可通过使用存储在存储器620中的各种确定的值和程序来对该消息进行加密。在该情况下，可使用公钥。

处理器650可自己生成并使用执行加密所需的公钥，或者可使用从外部装置接收到的公钥。例如，执行解密的密钥生成服务器20可将公钥分发给另一装置。

在密钥生成服务器20自己生成公钥的情况下，处理器650可生成图5所示的要生成的第一随机矩阵(S)和第二随机矩阵(A)以及基于第二随机矩阵的公钥。

在生成公钥的情况下，处理器650可控制通信装置610将密钥发送给另一装置。

处理器650还可生成用于消息的加密文本。例如，在输入身份信息的情况下，处理器650可通过对输入身份信息进行函数处理来生成经函数处理的输出值。另外，处理器650可随机抽样小元素，并通过使用抽样的小元素、经函数处理的输出值和公钥来为消息生成加密文本。

此外，处理器650可将所生成的加密文本存储在存储器620中，并且可基于用户请求或预定的默认命令来控制通信装置610以将相同的加密文本发送到另一装置。

处理器650可生成用于加密的文本或消息的数字签名信息。例如，处理器650可计算特解，其中在公钥中的计算特解的结果变为在消息中经预定的函数处理的输出值，并通过使用计算出的特解来生成用于消息的数字签名信息。

处理器650还可通过使用用户私钥来对加密文本进行解密。另外，当接收到消息和数字签名信息时，处理器650可使用接收到的数字签名信息来验证消息。详细地，处理器650可通过校验在公钥中对接收到的数字签名信息的计算的结果是否变为消息中预定的经函数处理的输出值，并且通过确定接收到的数字签名信息是否具有小于预定参数的值来对接收到的消息(或加密文本)进行验证。

如上所述，根据本申请的运算装置可使用具有由2的幂和2或更大的整数相乘表示的维度的环来执行加密处理。可减少生成密钥所需的运算量或运算时间，这是因为可使用由2的幂和整数相乘表示的维度而无需将维度加倍以提高密钥的安全性。

同时，图6示出并描述了一个装置执行加密和解密操作两者，但是该一个装置可被实现为执行一个操作，例如，密钥生成操作、加密操作和解密操作之中的仅一个。

尽管已经参考附图描述了本申请，但是本申请的范围不解释为限于所描述的实施例和/或附图，而是由所附权利要求书来限定。另外，应清楚地理解，对本领域技术人员显而易见的是，如权利要求书中所描述的对本申请的改进、变化和修改均被包括在本申请的范围内。