WO2020186750A1

WO2020186750A1 - Multi-evidence error correction-based lattice-based digital signature method

Info

Publication number: WO2020186750A1
Application number: PCT/CN2019/112512
Authority: WO
Inventors: 赵运磊; 黄兴忠
Original assignee: 上海扈民区块链科技有限公司
Priority date: 2019-03-18
Filing date: 2019-10-22
Publication date: 2020-09-24
Also published as: CN109936458A; CN109936458B

Abstract

In the present invention, we introduce a novel mechanism called evidence indistinguishable key consensus, and construct an efficient, modular, flexible, and strongly secure signature scheme on this basis. In the design of the traditional lattice-based signature scheme, a public key thereof is an MLWE instance t＝(t1, t0)＝As+e. In order to reduce the size of the public key, it is possible to use only t1 as a signature public key, and use t0 as a part of a private key, wherein t0 corresponds to a lower bit of t, and t1 corresponds to an upper bit of t. In the present invention, during signature, we simultaneously use the real t ₀ and several t' ₀ converted from t ₀ and used for confounding. This mechanism can greatly improve the signature efficiency and improve the security of the private key.

Description

一种基于多重证据纠错的格基数字签名方法A Lattice Digital Signature Method Based on Multiple Evidence Error Correction

技术领域Technical field

本发明涉及后量子格基数字签名技术，在保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生方面具有重要应用。The invention relates to a post-quantum lattice digital signature technology, which has important applications in ensuring the integrity of information transmission, performing identity authentication of the information sender, and preventing the occurrence of denial in transactions.

背景技术Background technique

数字签名技术是用于解决如下问题：发送方Alice利用私钥sk对消息M进行签名，得到签名σ。接收方Bob利用公钥pk对签名σ进行认证，若认证通过，则接收方Bob承认消息M是由Alice发送的。发明方法是解决如何设计数字签名，保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生。The digital signature technology is used to solve the following problem: the sender Alice signs the message M with the private key sk to obtain the signature σ. The receiver Bob uses the public key pk to authenticate the signature σ. If the authentication is passed, the receiver Bob acknowledges that the message M was sent by Alice. The method of the invention is to solve how to design a digital signature to ensure the integrity of information transmission, perform identity authentication of the information sender, and prevent denial in transactions.

随着量子计算机的快速发展，发展后量子数字签名方法和技术变得日益迫切。在后量子密码技术路线中，格基密码由于其坚实的计算复杂性基础和性能综合优势成为后量子密码的主流技术路线之一。With the rapid development of quantum computers, the development of quantum digital signature methods and technologies becomes increasingly urgent. Among the technical routes of post-quantum cryptography, lattice cryptography has become one of the mainstream technical routes of post-quantum cryptography due to its solid computational complexity foundation and comprehensive performance advantages.

在本发明中，我们引入了一种称为证据不可区分密钥共识的新颖机制，构造了一个命名为“木兰”的基于格的高效、模块化、灵活且强安全的签名方案。在传统的格基签名方案的设计中，其公钥是一个MLWE的实例t＝(t1，t0)＝As+e。为了降低公钥尺寸，可以仅将t1作为签名公钥，而将t0作为私钥的一部分，其中t0对应t的低位，t1对应t的高位。我们通过分析和实验验证发现，至多需要100万个签名即可以很高的概率完全恢复出t0。In the present invention, we introduce a novel mechanism called evidence indistinguishable key consensus, and construct a lattice-based, efficient, modular, flexible and strong secure signature scheme named "Mulan". In the design of the traditional lattice signature scheme, the public key is an instance of MLWE t=(t1, t0)=As+e. In order to reduce the size of the public key, only t1 can be used as the signature public key, and t0 can be used as a part of the private key, where t0 corresponds to the low bit of t and t1 corresponds to the high bit of t. Through analysis and experimental verification, we found that at most 1 million signatures are required to completely recover t0 with a high probability.

在本发明中，我们引入一种新颖的证据不可区分的方法来保护t ₀。简而言之，在签名时我们同时使用真实的t ₀和一个从t ₀转换而来的用于混淆的t′ ₀。注意，对于签名验证者而言，其无法区分(因此验签独立于)签名过程具体用的是t ₀还是t′ ₀。这种基于证据不可区分的方法，相当于从所看到的签名中恢复t ₀时引入噪音，这反过来相当于在解决底层的MLWE问题时引入额外噪音，从而在参数不变的情况下实现安全增强。据我们所知，没有已知的方法从签名中恢复出t ₀。换句话说，从公钥去恢复私钥，Dilithium仅提供了MLWE这一道防线，隐藏t0仅为了减少公钥尺寸；而木兰提供了两道防线“复合装甲”进行私钥保护。更为关键的是，这种“复合装甲”机制还可以大幅提升签名的效率。在相同的安全参数下，木兰的安全性相对于传统签名方法更强并且签名效率提升约1倍。 In the present invention, we introduce a novel method of indistinguishable evidence to protect t ₀ . In short, we use both the real t ₀ and the t′ ₀ converted from t ₀ for obfuscation when signing. Note that for the signature verifier, it is impossible to distinguish (so the signature verification is independent of) whether the signature process specifically uses t ₀ or t′ ₀ . This method based on the indistinguishability of evidence is equivalent to introducing noise when restoring t ₀ from the seen signature, which in turn is equivalent to introducing additional noise when solving the underlying MLWE problem, so that it can be achieved without the parameters. Security enhancements. As far as we know, there is no known method to recover t ₀ from the signature. In other words, to recover the private key from the public key, Dilithium only provides the MLWE line of defense, and hiding t0 is only to reduce the size of the public key; while Mulan provides two lines of defense "composite armor" for private key protection. More critically, this "composite armor" mechanism can also greatly improve the efficiency of signatures. Under the same security parameters, Mulan's security is stronger than traditional signature methods, and the signature efficiency is about doubled.

我们做了大量的参数测试工程化工作以优化和平衡性能。比如，我们通过大量测试发现在对t ₀的不同比特改变对签名循环次数的改变呈现正态效应。在我们所选取的参数下，相对于传统的格基签名方法我们的签名更短、签名效率提升约1.5倍、签名验证效率由于使用更小的模数q也更优、抗伪造签名安全性更高。 We have done a lot of parameter test engineering work to optimize and balance performance. For example, through a lot of tests, we found that changing the different bits of t _{0 has} a normal effect on the change in the number of signature cycles. Under the parameters we selected, compared with the traditional lattice signature method, our signature is shorter, the signature efficiency is increased by about 1.5 times, the signature verification efficiency is better due to the use of a smaller modulus q, and the anti-forgery signature security is more high.

发明内容Summary of the invention

运行发明方法的发送方Alice得到私钥sk和公共参数params，对消息M运行签名算法Sign(params，sk，M)进行签名，得到签名σ＝(z，c，h)，并公开传输签名σ＝(z，c，h)给运行发明方法的接收方Bob。Bob得到公钥pk，消息M和对消息M的签名σ＝(z，c，h)作为输入，运行验证算法Verify(pk，M，(z，c，h))，得到1/0，分别表示验证通过/不通过。若认证通过，则接收方Bob承认消息M是由Alice发送的。发明方法是解决如何设计数字签名，在保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生方面具有重要应用。The sender Alice who runs the inventive method obtains the private key sk and the public parameter params, runs the signature algorithm Sign(params, sk, M) to sign the message M, obtains the signature σ = (z, c, h), and publicly transmits the signature σ = (Z, c, h) to Bob, who runs the inventive method. Bob gets the public key pk, the message M and the signature σ=(z, c, h) for the message M as input, and runs the verification algorithm Verify(pk, M, (z, c, h)) to get 1/0, respectively Indicates the verification passed/failed. If the authentication is passed, the receiver Bob acknowledges that the message M was sent by Alice. The method of the invention is to solve how to design a digital signature, which has important applications in ensuring the integrity of information transmission, authenticating the identity of the information sender, and preventing denial in transactions.

一种基于密钥共识的格基数字签名方法；其中，{…}表示一个信息或者数值的集合；R，R _q表示代数环，其中q是整数；该签名算法包括三个具体的算法：Gen，Sign(·)，Verify(·)。 A lattice digital signature method based on key consensus; where {...} represents a set of information or values; R and R _q represent algebraic rings, where q is an integer; the signature algorithm includes three specific algorithms: Gen , Sign(·), Verify(·).

Gen是密钥生成算法，算法输入包含安全参数，输出包含公钥pk和私钥sk。Sign(·)是签名算法，算法输入包含***参数params，私钥sk和消息M∈{0，1} ^*，其中{0，1} ^*表示任意长度的0-1串构成的集合，输出包含(z，c，h)，其中z∈Rl _q，c∈R，

其中t是正整数，g _h(n，m，h，aux _h)是关于n，m，h，aux _h的函数，aux _h是可为空的h的辅助参数集合。运行发明方法的发送方Alice得到私钥sk和公共参数params，对消息M运行签名算法Sign(params，sk，M)进行签名，得到签名σ＝(z，c，h)，并公开传输签名σ＝ (z，c，h)给运行发明方法的接收方Bob。Verify(·)是验证算法，算法输入包含***参数params，公钥pk，消息M和签名(z，c，h)，输出1或者0，分别表示验证通过或者不通过。Bob得到公钥pk，消息M和对消息M的签名σ＝(z，c，h)作为输入，运行验证算法Verify(pk，M，(z，c，h))，得到1/0，分别表示验证通过/不通过。若认证通过，则接收方Bob承认消息M是由Alice发送的。 Gen is a key generation algorithm. The input of the algorithm contains security parameters, and the output contains the public key pk and the private key sk. Sign(·) is a signature algorithm. The input of the algorithm includes system parameters params, private key sk and message M ∈ {0, 1} ^* , where {0, 1} ^* represents a set of 0-1 strings of any length, and the output contains (z, c, h), where z ∈ Rl _q , c ∈ R,

Where t is a positive integer, g _h (n, m, h, aux _h ) is a function of n, m, h, aux _h , and aux _h is a set of auxiliary parameters of _h that can be empty. The sender Alice who runs the inventive method obtains the private key sk and the public parameter params, runs the signature algorithm Sign(params, sk, M) to sign the message M, obtains the signature σ = (z, c, h), and publicly transmits the signature σ = (Z, c, h) to Bob who runs the inventive method. Verify(·) is a verification algorithm. The input of the algorithm includes system parameters params, public key pk, message M, and signature (z, c, h), and outputs 1 or 0, respectively, indicating that the verification passed or failed. Bob gets the public key pk, the message M and the signature σ=(z, c, h) for the message M as input, and runs the verification algorithm Verify(pk, M, (z, c, h)) to get 1/0, respectively Indicates that the verification passed/failed. If the authentication is passed, the receiver Bob acknowledges that the message M was sent by Alice.

一种基于多重证据纠错的格基数字签名方法；其中，{…}表示一个信息或者数值的集合；R，R _q表示代数环，其中q是正整数； A lattice-based digital signature method based on multiple evidence error correction; where {...} represents a set of information or values; R, R _q represent algebraic rings, where q is a positive integer;

Gen是密钥生成算法，算法输入包含安全参数，输出包含公钥pk和私钥sk，Gen is a key generation algorithm. The input of the algorithm contains security parameters, and the output contains the public key pk and the private key sk.

算法运行如下：The algorithm runs as follows:

1)得到***参数params＝{q，k，d，n，m，l，aux}，其中q，k，d，n，m，l均为正整数；aux是可为空的其它辅助***参数的集合；1) Obtain the system parameter params={q, k, d, n, m, l, aux}, where q, k, d, n, m, and l are all positive integers; aux are other auxiliary system parameters that can be empty Collection of

2)得到

2) get

3)得到

其中s取自集合

e取自某可为空的集合

3) get

Where s is taken from the set

e is taken from an empty set

4)得到

4) get

5)得到

其中

是关于t，params，

的函数，

是可为空的t ₁的辅助参数集合；得到

其中

是关于t，t ₁，params，

的函数，

是可为空的t _0，0的辅助参数集合； 5) get

among them

Is about t, params,

The function,

Is the nullable auxiliary parameter set of t ₁ ; get

among them

Is about t, t ₁ , params,

The function,

Is a nullable t _{0, 0} auxiliary parameter set;

6)输出公钥pk和私钥sk；其中，公钥pk包含params，t ₁，生成A所需要的信息，aux _pk，其中aux _pk是可为空的公钥的辅助参数集合；私钥sk包含生成A所需要的信息，s，e，t _0，0，aux _sk，其中aux _sk是可为空的私钥的辅助参数集合； 6) Output the public key pk and the private key sk; among them, the public key pk contains params, t ₁ , the information needed to generate A, aux _pk , where aux _pk is the set of auxiliary parameters of the nullable public key; the private key sk Contains the information needed to generate A, s, e, t ₀ , ₀ , aux _sk , where aux _sk is a set of auxiliary parameters of a nullable private key;

Sign(·)是签名算法，算法输入包含***参数params，公钥pk，私钥sk和消息μ∈{0，1} ^*，其中{0，1} ^*表示任意长度的0-1串构成的集合，输出包含(z，c，h)，其中

c∈R，

其中b是正整数，g _h(n，m，h，aux _h)是关于n，m，h，aux _h的输出结果为整数的函数，aux _h是可为空的h的辅助参数集合；算法运行如下： Sign(·) is a signature algorithm, the input of the algorithm includes system parameters params, public key pk, private key sk and message μ∈{0,1} ^* , where {0, 1} ^* represents a string of 0-1 of any length Set, the output contains (z, c, h), where

c∈R,

Where b is a positive integer, g _h (n, m, h, aux _h ) is a function of the output result of n, m, h, aux _h being an integer, and aux _h is a set of auxiliary parameters of _h that can be empty; the algorithm runs as follows:

1)得到

1) get

2)得到

其中

是关于e，params，

的函数，

是可为空的e ₀的辅助参数集合； 2) get

among them

Is about e, params,

The function,

Is the nullable e ₀ auxiliary parameter set;

3)得到

其中Transform _i是关于t _0，0，params，

的转换函数，

是可为空的t _0，i的辅助参数集合； 3) get

Where Transform _i is about t ₀ , ₀ , params,

Conversion function,

Is the nullable t _{0, i} auxiliary parameter set;

4)得到

其中

是关于t _0，i，t _0，0，params，

的函数，

是可为空的Δ _i的辅助参数集合； 4) get

among them

Is about t _{0, i} , t ₀ , ₀ , params,

The function,

Is a nullable Δ _i auxiliary parameter set;

5)得到

其中，

是关于e ₀，Δ _i，params，

的函数，

是可为空的e _i的辅助参数集合； 5) get

among them,

Is about e ₀ , Δ _i , params,

The function,

Is an auxiliary parameter set of e _i that can be empty;

6)得到

其中y′可为0向量； 6) get

Where y′ can be a 0 vector;

7)得到

7) get

8)得到

其中

是关于w，params，

的函数，

是可为空的w ₁的辅助参数集合； 8) get

among them

Is about w, params,

The function,

Is a nullable auxiliary parameter set of w ₁ ;

9)得到

其中

是关于w ₁，params，

的函数，

是可为空的w′ ₁的辅助参数集合； 9) get

among them

Is about w ₁ , params,

The function,

Is the nullable w′ ₁ auxiliary parameter set;

10)得到c＝H(w′ ₁，μ，aux _c)，其中H是一个哈希函数，或单向函数，或转换函数，aux _c是可为空的c的辅助参数集合； 10) Obtain c=H(w′ ₁ , μ, aux _c ), where H is a hash function, or one-way function, or conversion function, and aux _c is a nullable auxiliary parameter set of c;

11)得到z＝f _z(pk，y，s，w ₁，c，μ，aux _z)，其中，f _z是关于pk，y，s，w ₁，c，μ，aux _z的函数，aux _z是可为空的z的辅助参数集合； 11) Obtain z=f _z (pk, y, s, w ₁ , c, μ, aux _z ), where f _z is a function of pk, y, s, w ₁ , c, μ, aux _z , aux _z is a nullable z auxiliary parameter set;

12)判断条件

是否成立，其中，

是可为空的R _z的辅助参数集合；若不成立，则回到第6)步，循环运行直至R _z成立； 12) Judgment conditions

Whether it is established, among which,

Is the set of auxiliary parameters of R _z that can be empty; if not, go back to step 6) and run in a loop until R _{z is} established;

13)判断条件

是否成立，其中，b _i∈{0，1} ^p‘，p′＝p+1，j _i是计数器，w ⁽ⁱ⁾∈R _q是w的第i维，

则分别表示e ₀，e ₁，…，e _p的第i维，i＝1，…，m；若成立，则算法记录了正整数j _i，σ ⁽ⁱ⁾∈R _q；若不成立，则回到第6)步，循环运行直至

成立； 13) Judgment conditions

Whether it is true, where b _i ∈ {0, 1} ^p' , p'=p+1, j _i is a counter, w ⁽ⁱ⁾ ∈ R _q is the i-th dimension of w,

Then respectively represent the i-th dimension of e ₀ , e ₁ ,..., e _p , i = 1,..., m; if it is true, the algorithm records the positive integer j _i , σ ⁽ⁱ⁾ ∈ R _q ; if it is not true, then Go back to step 6) and cycle until

Established

14)得到σ＝f _σ(σ ⁽¹⁾，…，σ ^(m)，params，aux _σ)，其中，f _σ是关于 σ ⁽¹⁾，…，σ ^(m)，params，

的函数，aux _σ是可为空的σ的辅助参数集合； 14) Obtain σ=f _σ (σ ⁽¹⁾ ,...,σ ^(m) ,params,aux _σ ), where f _σ is about σ ⁽¹⁾ ,...,σ ^(m) ,params,

Function of, aux _σ is a set of auxiliary parameters of _σ that can be empty;

15)得到

其中，

是关于t _0，1，…，t _0，p，j ₁，…j _m，params，

的函数，

是可为空的t ₀的辅助参数集合； 15) get

among them,

Is about t ₀ , ₁ , …, t _{0, p} , j ₁ ,… j _m , params,

The function,

Is a nullable auxiliary parameter set of t ₀ ;

16)得到σ′＝f _σ′(c，t ₀，params，aux _σ′)，其中，f _σ′是关于c，t ₀，params，aux _σ′的函数，aux _σ′是可为空的σ′的辅助参数集合； 16) Obtain σ′=f _σ′ (c, t ₀ , params, aux _σ′ ), where f _σ′ is a function of c, t ₀ , params, aux _σ′ , and aux _σ′ is nullable σ'auxiliary parameter set;

17)得到

其中，f _h是关于w，c，e ₀，e ₁，…，e _p，t ₀，σ，σ′，y′，params，

的函数，

是可为空的h的辅助参数集合； 17) get

Among them, f _h is about w, c, e ₀ , e ₁ ,..., e _p , t ₀ , σ, σ′, y′, params,

The function,

Is the set of auxiliary parameters of h that can be empty;

18)判断条件

是否成立，其中，

是可为空的R _h的辅助参数集合；若不成立，则回到第6)步，循环运行直至R _h成立； 18) Judgment conditions

Whether it is established, among which,

Is the set of auxiliary parameters of R _h that can be empty; if not, go back to step 6), and run cyclically until R _{h is} established;

19)输出签名(z，c，h)；19) Output signature (z, c, h);

Verify(·)是验签算法，算法输入包含***参数params，公钥pk，消息μ和签名(z，c，h)，输出1或者0，其中，1表示验签通过，0表示不通过；算法运行如下：Verify(·) is a verification algorithm. The input of the algorithm includes system parameters params, public key pk, message μ and signature (z, c, h), and outputs 1 or 0, where 1 means the verification is passed, and 0 means not. The algorithm runs as follows:

1)得到

1) get

2)得到

其中

是关于h，A，z，c，t ₁，params，

的函数，

是可为空的w ₂的辅助参数集合； 2) get

among them

Is about h, A, z, c, t ₁ , params,

The function,

Is a nullable auxiliary parameter set of w ₂ ;

3)得到

其中，

是关于w ₂，params，

的函数，

是可为空的w′ ₂的辅助参数集合； 3) get

among them,

Is about w ₂ , params,

The function,

Is a nullable w′ ₂ auxiliary parameter set;

4)得到c′＝H(w′ ₂，μ，aux _c′)，其中H是一个哈希函数，或单向函数，或转换函数，aux _c′是可为空的c′的辅助参数集合； 4) Obtain c′=H(w′ ₂ , μ, aux _c′ ), where H is a hash function, or one-way function, or conversion function, and aux _c′ is an auxiliary parameter set of _c′ that can be empty ；

5)判断条件

是否成立，其中，

是可为空的R _v的辅助参数集合；若成立，则输出1，否则，输出0。 5) Judgment conditions

Whether it is established, among which,

Is an empty set of auxiliary parameters of R _v ; if it is true, then output 1; otherwise, output 0.

如上所述的方法，其中，代数环R，R _q满足关系R _q＝R/(qR)，其中，环R为Z _q[X]/(X ⁿ+1)，或Z _q[X]/(X ⁿ+X ^n-1+…+1)，或Z _q[X]/(X ⁿ-1)，其中，n是正整数。 The method described above, wherein the algebraic ring R, R _q satisfy the relationship R _q =R/(qR), where the ring R is Z _q [X]/(X ⁿ +1), or Z _q [X]/ (X ⁿ +X ^n-1 +...+1), or Z _q [X]/(X ⁿ -1), where n is a positive integer.

如上所述方法，其中，aux包含{η，η‘，ξ，ζ，γ，B，B‘，ω，σ，σ‘，g，q′，α，α′，p，p′}的可为空的子集合，其中，η，η‘，ξ，ζ，γ，B，B‘，ω，σ，σ‘，g，p，p′为正整数，p+1＝2 ^p′或否，q′＝lcm(q，k)是q和k的最小公倍数，α＝q′/q，α′＝q′/k。 The method described above, where aux contains {η,η',ξ,ζ,γ,B,B',ω,σ,σ',g,q',α,α',p,p'} Is an empty subset, where η, η', ξ, ζ, γ, B, B', ω, σ, σ', g, p, p'are positive integers, p+1=2 ^p'or no , Q′=lcm(q,k) is the least common multiple of q and k, α=q′/q, α′=q′/k.

如上所述的方法，其中，

服从

上概率分布。 The method as described above, in which,

obey

The probability distribution.

如上所述的方法，其中，Sam是扩展输出函数，y～S：＝Sam(x)表示输入为x，按分布S(或集合S上的均匀分布)输出值y。In the method described above, Sam is an extended output function, y～S:=Sam(x) means that the input is x, and the value y is output according to the distribution S (or a uniform distribution on the set S).

如上所述的方法，其中，ρ是随机种子，即固定长度的随机数。In the method as described above, ρ is a random seed, that is, a random number with a fixed length.

如上述的方法，其中，s可服从

上的均匀分布，或离散高斯分布，其中，S _η表示环R中各个系数属于[-η，η]的多项式全体所构成的集合；e可服从

上的均匀分布，或离散高斯分布，或e＝0。 As in the above method, where s can obey

The uniform distribution, or discrete Gaussian distribution, where S _η represents the set of all polynomials whose coefficients in ring R belong to [-η, η]; e can obey

The uniform distribution, or discrete Gaussian distribution, or e=0.

如上所述的方法，其中，当s，e的每个系数分别服从[-η，η]和[-η‘，η’]上的均匀分布时，s，e可用扩展输出函数Sam输入种子生成。The method as described above, wherein, when each coefficient of s, e obeys the uniform distribution on [-η,η] and [-η',η'] respectively, s, e can be generated by the input seed of the extended output function Sam .

如上所述的方法，其中，

的计算方法包括：t ₁＝(t-t mod ^±2 ^d)/2 ^d，其中，对于任意整数a和正整数b，a mod ^±b表示落在

的唯一整数c，使得b|c-a，这里对于任意实数x，

表示小于或者等于x的最大整数； The method as described above, in which,

The calculation method of includes: t ₁ =(tt mod ^± 2 ^d )/2 ^d , where, for any integer a and positive integer b, a mod ^± b means falling in

Unique integer c such that b|ca, where for any real number x,

Represents the largest integer less than or equal to x;

t ₁＝(t-t mod 2 ^d)/2 ^d，其中，对于任意整数a和正整数b，a mod b表示落在[0，b-1]的唯一整数c，使得b|c-a。 t ₁ =(tt mod 2 ^d )/2 ^d , where, for any integer a and positive integer b, a mod b represents a unique integer c falling in [0, b-1] such that b|ca.

如上所述的方法，其中，生成A所需的信息可包含随机种子ρ。The method as described above, wherein the information required to generate A may include a random seed p.

如上所述的方法，其中，aux _sk可包含公钥pk。 The method as described above, wherein aux _sk may include the public key pk.

如上所述的方法，其中，

的计算方法包括：t _0，0＝t-t ₁·2 ^d。 The method as described above, in which,

The calculation method of, includes: t _0,0 =tt ₁ ·2 ^d .

如上所述的方法，其中，

的计算方法为：把e ₀赋值为e，即e ₀←e。 The method as described above, in which,

The calculation method of is: assign e ₀ to e, that is, e ₀ ←e.

如上所述的方法，其中，

的计算方法包括： The method as described above, in which,

The calculation methods include:

将t _0，0的若干维的若干个比特进行翻转； Flip several bits of several dimensions of t _{0, 0} ;

将t _0，0若干维的若干个比特变成0； Turn several bits of t _{0, 0} into 0;

将t _0，0若干维的若干个比特变成1； Turn several bits of t _{0, 0} into 1;

将t _0，0若干维的若干个比特进行翻转，或变成0，或变成1； Flip several bits of t _{0, 0 in} several dimensions, or become 0 or 1;

将t _0，0若干维的若干个比特进行随机替换； Randomly replace several bits in t _{0, 0} dimensions;

上述五种方法的组合。A combination of the above five methods.

如上所述的方法，其中，

的计算方法包括： The method as described above, in which,

The calculation methods include:

Δ _i＝t _0，i-t _0，0；或 Δ _i = t _{0, i-} t _0, ₀ ; or

Δ _i＝t _0，0-t _0，i。 Δ _i =t _0,0 -t _0,i .

如上所述的方法，其中，

的计算方法包括： The method as described above, in which,

The calculation methods include:

e _i＝e ₀-Δ _i；或 e _i ＝e ₀ -Δ _i ; or

e _i＝e ₀+Δ _i。 e _i =e ₀ +Δ _i .

如上所述的方法，其中t _0，i，Δ _i，e _i的计算根据i的取值循环生成。 In the method described above, the calculation of t _{0, i} , Δ _i , e _i is generated cyclically according to the value of i.

如上所述的方法，其中，

可服从

上均匀分布，或标准差为σ的离散高斯分布；

可服从

上均匀分布，或标准差为σ‘的离散高斯分布；其中B，B‘，σ，σ’是辅助参数； The method as described above, in which,

Obeyable

The upper uniform distribution, or the discrete Gaussian distribution with standard deviation σ;

Obeyable

The upper uniform distribution, or the discrete Gaussian distribution with standard deviation σ'; where B, B', σ, σ'are auxiliary parameters;

如上所述的方法，其中，y，y′可用扩展输出函数Sam输入种子、公钥pk、aux _sk、aux _y确定性地生成，其中aux _y是可为空的集合。 In the method described above, y, y′ can be generated deterministically with the extended output function Sam input seed, public key pk, aux _sk and aux _y , where aux _y is an empty set.

如上所述的方法，其中，

的计算方法为：w ₁←HighBits _q，k(w，params)，其中HighBits _q，k是一个转换函数。 The method as described above, in which,

The calculation method of is: w ₁ ←HighBits _q,k (w,params), where HighBits _q,k is a conversion function.

如上所述的方法，其中，对于r∈Z _q，HighBits _q，k(r，params)算法运行如下： The method described above, where, for r ∈ Z _q , the HighBits _{q, k} (r, params) algorithm runs as follows:

计算(r ₁，r ₀)←Con(r，params)，其中Con是一个编码算法； Calculate (r ₁ , r ₀ )←Con(r, params), where Con is an encoding algorithm;

输出r ₁。 Output r ₁ .

若算法HighBits _q，k(·)输入

和公共参数params，则意味着对多项式向 If the algorithm HighBits _{q, k} (·) is input

And the public parameter params, it means that the polynomial direction

量w中的每个系数分别使用HighBits _q，k算法。 Each coefficient in the quantity w uses the HighBits _{q, k} algorithm.

如上所述的方法，其中，编码算法Con(·)输入包含r∈Z _q和公共参数params，算法对r∈Z _q基于params进行编码，输出包含(r ₁，r ₀)，其中r ₁∈Z _k，r ₀∈Z _t，k是***参数，t是整数；若算法Con(·)输入

和公共参数params，则意味着对多项式向量w中的每个系数分别使用Con算法。 In the method described above, the input of the encoding algorithm Con(·) contains r∈Z _q and public parameters params, the algorithm encodes r∈Z _q based on params, and the output contains (r ₁ , r ₀ ), where r ₁ ∈ Z _k , r ₀ ∈ Z _t , k is the system parameter, t is an integer; if the algorithm Con(·) is input

And the common parameter params means to use the Con algorithm for each coefficient in the polynomial vector w.

如上所述的方法，其中，r ₀∈Z _t中整数t的取值包含：t＝g或t＝g+1。如权利要求21所述的方法，其中，Con(r，params)算法运行如下： In the above method, the value of the integer t in r ₀ ∈ Z _t includes: t=g or t=g+1. The method of claim 21, wherein the Con(r, params) algorithm operates as follows:

计算σ _A∈Z _q′； Calculate σ _A ∈Z _q′ ;

计算r ₀； Calculate r ₀ ;

计算r ₁； Calculate r ₁ ;

返回(r ₁，r ₀)。 Return (r ₁ , r ₀ ).

如上所述的方法，其中，σ _A的计算方法包括：从集合[0，α-1]或集合

中选取确定的元素e，特别地，取e＝0；计算σ _A＝αr+e∈Z _q′。如权利要求25所述的方法，其中，σ _A＝αr+e∈Z _q′的计算方法包括： The method as described above, wherein the calculation method of σ _A includes: from the set [0, α-1] or the set

Select a certain element e in, in particular, take e=0; calculate σ _A =αr+eεZ _q′ . The method according to claim 25, wherein the calculation method of σ _A =αr+e∈Z _q′ comprises:

σ _A＝αr+e mod q′，或 σ _A =αr+e mod q′, or

σ _A＝αr+e mod ^±q′。 σ _A =αr+e mod ^± q'.

如上所述的方法，其中，

是关于σ _A，α，α′，k的函数。 The method as described above, in which,

Is a function of σ _A , α, α′, k.

如上所述的方法，其中r ₀的计算方法包括： In the method described above, the calculation method of r ₀ includes:

计算r ₀＝σ _Amod ^±α′，或 Calculate r ₀ =σ _A mod ^± α′, or

计算r ₀＝σ _Amodα′，或 Calculate r ₀ =σ _A modα′, or

计算

或 Calculation

or

计算

或 Calculation

or

计算

或 Calculation

or

计算

Calculation

其中，k，q是***参数，g，α′是辅助参数；对于任意实数a，

表示与a最接近的整数。 Among them, k, q are system parameters, g, α'are auxiliary parameters; for any real number a,

Represents the integer closest to a.

如上所述的方法，其中r ₁的计算方法包括： In the method described above, the calculation method of r ₁ includes:

计算

或 Calculation

or

计算

或 Calculation

or

若k，q互素且kr-r ₀＝kq，则令r ₁＝0；否则，计算r ₁＝(kr-r ₀)/q， If k and q are relatively prime and kr-r ₀ =kq, let r ₁ =0; otherwise, calculate r ₁ =(kr-r ₀ )/q,

其中，k，q是***参数，α′是辅助参数。Among them, k, q are system parameters, and α'are auxiliary parameters.

如上所述的方法，其中，

的计算方法包括： The method as described above, in which,

The calculation methods include:

或

or

其中，k，q是***参数。Among them, k, q are system parameters.

如上所述的方法，其中，aux _c包含pk和/或params和/或公钥证书certificate。如权利要求1所述的方法，其中，z＝f _z(pk，y，s，w ₁，c，μ，aux _z)的计算方法包括：

In the method as described above, aux _c includes pk and/or params and/or public key certificate certificate. The method of claim 1, wherein the calculation method of z=f _z (pk, y, s, w ₁ , c, μ, aux _z ) comprises:

如上所述的方法，其中，条件

包括：||z|| _∞＜ξ，其中，ξ是辅助参数；对于任意a∈R，||a|| _∞表示多项式a的所有系数的绝对值的最大值；对于任意a＝(a ₁，…，a _b)∈R ^b，b是正整数，||a|| _∞表示||a _i|| _∞，1≤i≤b的最大值。 The method as described above, where the condition

Including: ||z|| _∞ ＜ξ, where ξ is an auxiliary parameter; for any a∈R, ||a|| _∞ represents the maximum value of the absolute value of all the coefficients of the polynomial a; for any a=(a ₁ ,..., a _b )∈R ^b , b is a positive integer, and ||a|| _∞ means ||a _i || _∞ , the maximum value of 1≤i≤b.

如权利要求1所述的方法，其中，条件

的判断步骤包含： The method of claim 1, wherein the condition

The judgment steps include:

选取b _i∈{0，1} ^p‘； Choose b _i ∈{0,1} ^p' ;

令计数器j _i＝b _i； Let the counter j _i =b _i ;

计算

Calculation

计算

Calculation

判断条件

是否成立，若成立，则记录j _i，σ ⁽ⁱ⁾； Analyzing conditions

Whether it is established, if it is established, record j _i , σ ⁽ⁱ⁾ ;

否则令j _i＝b _i+1，继续回到c)直至

成立或j _i＝b _i+p+1； Otherwise, set j _i =b _i +1 and continue back to c) until

It is true or j _i =b _i +p+1;

若j _i＝b _i+p+1，则判定

不成立。 If j _i =b _i +p+1, then judge

invalid.

如上所述的方法，其中，步骤b)-f)可通过for循环语句实现。The method as described above, wherein steps b)-f) can be implemented by a for loop statement.

如权利要求34所述的方法，其中，

可通过计算

获得。 The method of claim 34, wherein:

Can be calculated

obtain.

如上所述的方法，其中，条件

包含：

且

其中，ζ是辅助参数。 The method as described above, where the condition

contain:

And

Among them, ζ is an auxiliary parameter.

如上所述的方法，其中，σ＝f _σ(σ ⁽¹⁾，…，σ ^(m)，params，aux _σ)的计算方法包括：σ＝(σ ⁽¹⁾，…，σ ^(m))。 In the method described above, the calculation method of σ=f _σ (σ ⁽¹⁾ ,...,σ ^(m) , params, aux _σ ) includes: σ=(σ ⁽¹⁾ ,...,σ ^(m) ) .

如上所述的方法，其中，

的计算方法包括：

The method as described above, in which,

The calculation methods include:

如上所述的方法，其中，σ′＝f _σ′(c，t ₀，params，aux _σ′)的计算方法包括： In the above method, the calculation method of σ′=f _σ′ (c, t ₀ , params, aux _σ′ ) includes:

σ′＝ct ₀； σ′=ct ₀ ;

σ′＝--ct ₀。 σ'=--ct ₀ .

如上所述的方法，其中，

的计算方法包括： The method as described above, in which,

The calculation methods include:

h＝MakeHint(-σ′，σ+σ′，params)，其中MakeHint是一个转换函数；或h=MakeHint(-σ′,σ+σ′,params), where MakeHint is a conversion function; or

h＝MakeHint(σ′，σ-σ′，params)，或h=MakeHint(σ′,σ-σ′,params), or

h＝MakeGHint(-σ′，σ+σ′，params)，或h=MakeGHint(-σ′,σ+σ′,params), or

h＝MakeGHint(σ′，σ-σ′，params)。h=MakeGHint(σ',σ-σ',params).

如上所述的方法，其中，对于z∈Z _q，r∈Z _q，算法MakeHint(z，r，params)的计算方法如下： The method described above, where, for z ∈ Z _q , r ∈ Z _q , the calculation method of the algorithm MakeHint(z, r, params) is as follows:

r ₁＝HighBits _q，k(r，params)； r ₁ =HighBits _{q, k} (r, params);

v ₁＝HighBits _q，k(r+z，params)； v ₁ =HighBits _{q, k} (r+z, params);

若r ₁＝v ₁，则返回0；否则，返回1。 If r ₁ =v ₁ , return 0; otherwise, return 1.

若算法MakeH int(·)输入z′，

和公共参数params，其中a是正整数，则 If the algorithm MakeH int(·) inputs z′,

And the public parameter params, where a is a positive integer, then

意味着对多项式向量z′，

中的每组对应的系数分别使用MakeHint算法。如权利要求41所述的方法，其中，对于z∈Z _q，r∈Z _q，算法MakeGHint(z，r，params)的计算方法如下： Means that for the polynomial vector z′,

The coefficients corresponding to each group in each use the MakeHint algorithm. The method according to claim 41, wherein, for z∈Z _q , r∈Z _q , the calculation method of the algorithm MakeGHint(z, r, params) is as follows:

r ₁＝HighBits _q，k(r，params)； r ₁ =HighBits _{q, k} (r, params);

v ₁＝HighBits _q，k(r+z，params)； v ₁ =HighBits _{q, k} (r+z, params);

返回h＝(v ₁-r ₁)mod ^±k或h＝(v ₁-r ₁)mod k。 Return h=(v ₁ -r ₁ )mod ^± k or h=(v ₁ -r ₁ )mod k.

若算法MakeGH int(·)输入z′，

和公共参数params，其中a是正整数，则 If the algorithm MakeGH int(·) inputs z′,

And the public parameter params, where a is a positive integer, then

意味着对多项式向量z′，

中的每组对应的系数分别使用MakeGHint算 Means that for the polynomial vector z′,

The coefficients corresponding to each group in are calculated using MakeGHint

法。law.

如上所述的方法，其中，条件

包括：||σ′|| _∞＜γ和#h≤ω，其中，γ是辅助参数对于h∈{0，1} ^a，a是正整数，#h表示多项式向量h中系数1的个数。 The method as described above, where the condition

Including: ||σ′|| _∞ <γ and #h≤ω, where γ is an auxiliary parameter. For h∈{0,1} ^a , a is a positive integer, and #h represents the number of coefficient 1 in the polynomial vector h.

如上所述的方法，其中，

的计算方法包括： The method as described above, in which,

The calculation methods include:

或

or

或

or

其中，

是关于h，A，z，c，t ₁，params，

的 among them,

Is about h, A, z, c, t ₁ , params,

of

函数，

Re c是解码函数。 function,

Re c is the decoding function.

如上所述的方法，其中，

的计算方法包括：

其中，d是***参数。 The method as described above, in which,

The calculation methods include:

Among them, d is a system parameter.

如权利要求45所述的方法，其中，解码算法Re c(·)，算法输入包含r′∈Z _q，r ₀∈Z _t和***参数params，其中，(r ₁，r ₀)←Con(r，params)，r∈Z _q，|r′-r| _q≤d′，d′为一个整数；对于任意整数a，|a| _q定义为min{a mod q，q-a mod q}，min{·}定义为取最小值；算法对r′∈Z _q，r ₀∈Z _t基于params进行解码，输出包含r′ ₁，其中r′ ₁∈Z _k，k是***参数；若r′与r的距离d′满足一定的限制条件，则r′ ₁＝r ₁，双方纠错成功。 The method according to claim 45, wherein the decoding algorithm Re c(·), the algorithm input includes r′∈Z _q , r ₀ ∈ Z _t and system parameters params, where (r ₁ , r ₀ )←Con( r, params), r∈Z _q , |r′-r| _q ≤d′, d′ is an integer; for any integer a, |a| _{q is} defined as min{a mod q, qa mod q}, min {·} is defined as the minimum value; the algorithm decodes r′ ∈ Z _q , r ₀ ∈ Z _t based on params, and the output contains r′ ₁ , where r′ ₁ ∈ Z _k , k is the system parameter; if r′ and The distance d′ of r satisfies certain restriction conditions, then r′ ₁ =r ₁ , and both parties succeed in error correction.

如上所述的方法，其中，Re c(r′，r ₀，params)的计算方法包括： The method as described above, wherein the calculation method of Re c(r′, r ₀ , params) includes:

或

or

或

or

其中c′是一个实数。

Where c'is a real number.

如上所述的方法，其中，d′满足的关系式包含：In the method as described above, the relational expression satisfied by d′ includes:

(2d′+1)k＜q(1-1/g)，或(2d′+1)k＜q(1-1/g), or

(2d′+2)k＜q(1-1/g)，或(2d′+2)k＜q(1-1/g), or

(2d′+1)k＜q(1-2τ/g)，其中τ为max{|c|，|1-c|}，对于任意实数a，|a|表示取a的绝对值，max{·}定义为取最大值，或(2d′+1)k<q(1-2τ/g), where τ is max{|c|,|1-c|}, for any real number a, |a| represents the absolute value of a, max{ ·} is defined as the maximum value, or

(d′+1)k＜q(1/2-τ/g)，或(d′+1)k＜q(1/2-τ/g), or

2kd′＜q，或2kd′＜q, or

2k(d′+1)＜q。2k(d′+1)<q.

如上所述的方法，其中，c′为实数，满足0≤c′≤1。In the method as described above, c′ is a real number and satisfies 0≦c′≦1.

如上所述的方法，其中，对于h∈{0，1}，r∈Z _q，算法UseHint(h，r，params)的计算方法如下： In the method described above, for h ∈ {0, 1}, r ∈ Z _q , the calculation method of the algorithm UseHint(h, r, params) is as follows:

(r ₁，r ₀)＝Con(r，params)； (r ₁ , r ₀ )=Con(r, params);

若h＝1且r ₀＞0，返回(r ₁+1)mod k；若h＝1且r ₀＜0，返回(r ₁-1)mod k； If h=1 and r ₀ ＞0, return (r ₁ +1) mod k; if h=1 and r ₀ ＜0, return (r ₁ -1) mod k;

否则，若h＝0，返回r ₁。 Otherwise, if h=0, return r ₁ .

如上所述的方法，其中，对于h∈{0，1}，r∈Z _q，算法UseGHint(h，r，params)的计算方法如下： In the method described above, for h ∈ {0, 1}, r ∈ Z _q , the calculation method of the algorithm UseGHint(h, r, params) is as follows:

r ₁＝HighBits(r，params)； r ₁ =HighBits(r, params);

返回(r ₁+h)mod k。 Return (r ₁ +h)mod k.

如上所述的方法，其中，

的计算方法包括： The method as described above, in which,

The calculation methods include:

或

or

如上所述的方法，其中，aux _c′包含pk和/或params和/或公钥证书certificate。如权利要求1所述的方法，其中，条件

包括：， The method as described above, wherein, aux _c′ includes pk and/or params and/or public key certificate certificate. The method of claim 1, wherein the condition

include:,

c＝c′且||z|| _∞＜ξ，或 c=c′ and ||z|| _∞ ＜ξ, or

c＝c′且||z|| _∞＜ξ且#h≤ω； c=c′ and ||z|| _∞ <ξ and #h≤ω;

其中，ξ，ω是辅助参数。Among them, ξ and ω are auxiliary parameters.

如上所述的方法，如权利要求18所述的方法，其中，aux _sk包含一个随机数种子K，aux _y包含一个计数器counter用于记录每次签名时对第6)步的第counter次执行。 The method described above is the method of claim 18, wherein aux _sk includes a random number seed K, and aux _y includes a counter for recording the counter execution of step 6) each time the signature is executed.

如上所述的方法，y，y′由Expand(ρ，K，tr，counter)确定性地生成，其中tr＝CRH(ρ，K)，CRH是一个抗碰撞的密码哈希函数，Expand是一个确定性的扩展函数。In the method described above, y, y'are generated deterministically by Expand(ρ, K, tr, counter), where tr=CRH(ρ, K), CRH is an anti-collision cryptographic hash function, and Expand is a Deterministic extension function.

如上所述的方法，其中，随机选取bi←{0，1} ^p‘，或b _i被设定为{0，1} ^p‘，或b _i从{pk，ρ，K，tr，aux _sk，aux _y}确定性地导出。 The method described above, wherein the randomly selected bi ← {0,1} ^{p ',} or b _i is set {0,1} ^p', or b _i from {pk, ρ, K, tr , aux sk , Aux _y } Deterministically derived.

如上所述的方法，其中，b _i在得到y，y′过程中同时导出。 In the method as described above, b _i is derived simultaneously in the process of obtaining y, y'.

如上所述的方法，签名过程中所需生成的t _0，i、Δ _i、e _i可以在签名之前离线计算并存储，或其部分或全体放在aux _sk作为私钥的一部分。 Method as described above, generated in the signing process required for _{_{t 0, i, Δ i,}} e i may be calculated offline and stored before the signature, in part or in whole, or as part of the private key aux _sk.

具体实施方式detailed description

在发明方法的实际应用中，建议p＝1或3。如果p＝1，Transform函数建议对t _0，0每一维的中间一个比特进行翻转或随机替换；如果p＝3对t _0，0每一维的中间三个比特进行翻转或随机替换(或比特翻转和随机替换并用)。当p＝1或3时，对于大致128-比特的后量子安全级别，建议的具体参数如下： In the actual application of the inventive method, p=1 or 3 is recommended. If p = 1, Transform function to the intermediate t recommend _0,0 each dimension bit inversion or a random replacement; if p = _0,0 three pairs each dimension t of the intermediate bit inversion or three random replacement (or Bit flip and random replacement are used together). When p = 1 or 3, for a post-quantum security level of approximately 128-bits, the recommended specific parameters are as follows:

To	参数集合-1Parameter set-1	参数集合-2Parameter set-2
qq	41912334191233	83804178380417
nn	256256	256256
(h，l)(h, l)	(5，4)(5, 4)	(5，4)(5, 4)
(η，η′)(η，η′)	(2，2)(2, 2)	(5，5)(5, 5)
公钥长度(字节)Public key length (bytes)	14721472	14721472
签名长度(字节)Signature length (bytes)	25722572	27012701
重复次数repeat times	2.412.41	3.23.2

对于上面具体的参数，当p＝1时，Transform函数建议对t _0，0每一维的低位第5个比特进行翻转或随机替换；如果p＝3对t _0，0每一维的低位第5、6、7间三个比特进行翻转或随机替换(或二者结合)。 For the above specific parameters, when p = 1, Transform function suggested t _0,0 each dimension of the lower 5 bits of the random replacement or inversion; if p = 3 t _0,0 for each of the dimensions of the lower The three bits between 5, 6, and 7 are flipped or replaced randomly (or a combination of the two).

下面以p＝1时，描述Gen，Sign(·)，Verify(·)，Con(·)和HighBits(·)具体实施方式如下。具体实施方式可以简单地扩展到p＝3的情况。When p=1, the specific implementations of Gen, Sign(·), Verify(·), Con(·) and HighBits(·) are described as follows. The specific implementation can be simply extended to the case of p=3.

Gen：Gen:

1)得到***参数params＝{q，k，d，n，m，l，aux}，其中q，k，d，n，m，l均为整数；aux是可为空的其它辅助***参数的集合；1) Obtain the system parameter params={q, k, d, n, m, l, aux}, where q, k, d, n, m, and l are all integers; aux are other auxiliary system parameters that can be empty set;

2)ρ←{0，1} ²⁵⁶； 2)ρ←{0,1} ²⁵⁶ ;

3)

4)

5)

6)t ₁＝(t-t mod ^±2 ^d)/2 ^d； 6) t ₁ = (tt mod ^± 2 ^d )/2 ^d ;

7)t _0，0＝t-t ₁·2 ^d 7) t _0，0 =tt ₁ ·2 ^d

8)K←{0，1} ²⁵⁶； 8) K←{0,1} ²⁵⁶ ;

9)tr＝CRH(ρ||t ₁)∈{0，1} ³⁸⁴，其中||是字符串连接符； 9) tr=CRH(ρ||t ₁ )∈{0,1} ³⁸⁴ , where || is a string concatenation;

10)输出pk＝(ρ，t ₁，params，aux _pk)，sk＝(s，e，t _0，0，aux _sk＝{K，tr}，ρ)； 10) Output pk = (ρ, t ₁ , params, aux _pk ), sk = (s, e, t ₀ , ₀ , aux _sk = {K, tr}, ρ);

Siqn(params，pk，sk，μ)-1：Siqn(params, pk, sk, μ)-1:

Sign(params，sk，μ)-2：Sign(params, sk, μ)-2:

Verify(pk，μ，(z，c，h))：Verify(pk, μ, (z, c, h)):

1)

2)w ₂＝UseH int(h，Az-ct ₁·2 ^d，params)； 2) w ₂ = UseH int(h, Az-ct ₁ ·2 ^d , params);

3)

4)c′＝H(ρ，t ₁，w′ ₂，μ) 4) c′=H(ρ, t ₁ , w′ ₂ , μ)

5)若c＝c′且||z|| _∞＜ξ且h中1的个数≤ω，则输出1；否则，输出0； 5) If c=c′ and ||z|| _∞ <ξ and the number of 1 in h≤ω, then output 1; otherwise, output 0;

Con(r，params)：Con(r, params):

1)r ₀＝kr mod ^±q； 1) r ₀ =kr mod ^± q;

2)若kr-r ₀＝kq，则令r ₁＝0；否则，计算r ₁＝(kr-r ₀)/q； 2) If kr-r ₀ =kq, then set r ₁ = 0; otherwise, calculate r ₁ =(kr-r ₀ )/q;

3)返回(r ₁，r ₀)。 3) Return (r ₁ , r ₀ ).

Highbits(r，params)：Highbits(r, params):

1)(r ₁，r ₀)←Con(r，params)； 1)(r ₁ , r ₀ )←Con(r, params);

2)返回r ₁。 2) Return r ₁ .

Claims

一种基于多重证据纠错的格基数字签名方法；其中，{…}表示一个信息或者数值的集合；R，R _q表示代数环，其中q是正整数； A lattice-based digital signature method based on multiple evidence error correction; where {...} represents a set of information or values; R, R _q represent algebraic rings, where q is a positive integer;

Gen是密钥生成算法，算法输入包含安全参数，输出包含公钥pk和私钥sk，算法运行如下：Gen is a key generation algorithm. The input of the algorithm contains security parameters, and the output contains the public key pk and the private key sk. The algorithm runs as follows:

1)得到***参数params＝{q，k，d，n，m，l，aux}，其中q，k，d，n，m，l均为正整数；aux是可为空的其它辅助***参数的集合；1) Obtain the system parameter params={q, k, d, n, m, l, aux}, where q, k, d, n, m, and l are all positive integers; aux are other auxiliary system parameters that can be empty Collection of

2)得到
2) get

3)得到
其中s取自集合
e取自某可为空的集合

3) get
Where s is taken from the set
e is taken from an empty set

4)得到
4) get

5)得到
其中
是关于t，params，
的函数，
是可为空的t ₁的辅助参数集合；得到

其中
是关于t，t ₁，params，
的函数，
是可为空的t _0，0的辅助参数集合； 5) get
among them
Is about t, params,
The function,
Is the nullable auxiliary parameter set of t ₁ ; get

among them
Is about t, t ₁ , params,
The function,
Is a nullable t _{0, 0} auxiliary parameter set;

6)输出公钥pk和私钥sk；其中，公钥pk包含params，t ₁，生成A所需要的信息，aux _pk，其中aux _pk是可为空的公钥的辅助参数集合；私钥sk包含生成A所需要的信息，s，e，t _0，0，aux _sk，其中aux _sk是可为空的私钥的辅助参数集合； 6) Output the public key pk and the private key sk; among them, the public key pk contains params, t ₁ , the information needed to generate A, aux _pk , where aux _pk is the set of auxiliary parameters of the nullable public key; the private key sk Contains the information needed to generate A, s, e, t ₀ , ₀ , aux _sk , where aux _sk is a set of auxiliary parameters of a nullable private key;

Sign(·)是签名算法，算法输入包含***参数params，公钥pk，私钥sk和消息μ∈{0，1} ^*，其中{0，1} ^*表示任意长度的0-1串构成的集合，输出包含(z，c，h)，其中
其中b是正整数，gh(n，m，h，aux _h)是关于n，m，h，aux _h的输出结果为整数的函数，aux _h是可为空的h的辅助参数集合；算法运行如下： Sign(·) is a signature algorithm, the input of the algorithm includes system parameters params, public key pk, private key sk and message μ∈{0,1} ^* , where {0, 1} ^* represents a string of 0-1 of any length Set, the output contains (z, c, h), where
Where b is a positive integer, gh(n, m, h, aux _h ) is a function of the output result of n, m, h, aux _h as integers, and aux _h is a set of auxiliary parameters of _h that can be empty; the algorithm runs as follows :

1)得到
1) get

2)得到
其中
是关于e，params，
的函数，
是可为空的e ₀的辅助参数集合； 2) get
among them
Is about e, params,
The function,
Is the nullable e ₀ auxiliary parameter set;

3)得到t _0，i＝Transform _i
i＝1，…p，其中 Transform _i是关于t _0，0，params，
的转换函数，
是可为空的t _0，i的辅助参数集合； 3) Obtain t _{0, i} = Transform _i
i=1,...p, where Transform _i is about t ₀ , ₀ , params,
Conversion function,
Is the nullable t _{0, i} auxiliary parameter set;

4)得到
i＝1，…p，其中
是关于t _0，i，
的函数，
是可为空的Δ _i的辅助参数集合； 4) get
i=1,...p, where
Is about t _{0, i} ,
The function,
Is a nullable Δ _i auxiliary parameter set;

5)得到
i＝1，…p，其中，
是关于
的函数，
是可为空的e _i的辅助参数集合； 5) get
i=1,...p, where,
its about
The function,
Is an auxiliary parameter set of e _i that can be empty;

6)得到
其中y′可为0向量； 6) get
Where y′ can be a 0 vector;

7)得到
7) get

8)得到
其中
是关于w，params，
的函数，
是可为空的w ₁的辅助参数集合； 8) get
among them
Is about w, params,
The function,
Is a nullable auxiliary parameter set of w ₁ ;

9)得到
其中
是关于w ₁，params，
的函数，
是可为空的w′ ₁的辅助参数集合； 9) get
among them
Is about w ₁ , params,
The function,
Is the nullable w′ ₁ auxiliary parameter set;

10)得到c＝H(w′ ₁，μ，aux _c)，其中H是一个哈希函数，或单向函数，或转换函数，aux _c是可为空的c的辅助参数集合； 10) Obtain c=H(w′ ₁ , μ, aux _c ), where H is a hash function, or one-way function, or conversion function, and aux _c is a nullable auxiliary parameter set of c;

11)得到z＝f _z(pk，y，s，w ₁，c，μ，aux _z)，其中，f _z是关于pk，y，s，w ₁，c，μ，aux _z的函数，aux _z是可为空的z的辅助参数集合； 11) Obtain z=f _z (pk, y, s, w ₁ , c, μ, aux _z ), where f _z is a function of pk, y, s, w ₁ , c, μ, aux _z , aux _z is a nullable z auxiliary parameter set;

12)判断条件R _z
是否成立，其中，
是可为空的R _z的辅助参数集合；若不成立，则回到第8)步，循环运行直至R _z成立； 12) Judgment condition R _z
Whether it is established, among which,
Is the set of auxiliary parameters of R _z that can be empty; if not, go back to step 8) and run in a loop until R _{z is} established;

13)判断条件
是否成立，其中，b _i∈{0，1} ^p′，p′＝p+1，j _i是计数器，w ⁽ⁱ⁾∈R _q是w的第i维，
则分别表示e ₀，e ₁，…，e _p的第i维，i＝1，…，m；若成立，则算法记录了正整数j _i，σ ⁽ⁱ⁾∈R _q；若不成立，则回到第8)步，循环运行直至
成立； 13) Judgment conditions
Whether it is true, where b _i ∈ {0,1} ^p′ , p′=p+1, j _i is a counter, w ⁽ⁱ⁾ ∈ R _q is the i-th dimension of w,
Then respectively represent the i-th dimension of e ₀ , e ₁ ,..., e _p , i = 1,..., m; if it is true, the algorithm records the positive integer j _i , σ ⁽ⁱ⁾ ∈ R _q ; if it is not true, then Go back to step 8) and run in a loop until
Established

14)得到σ＝f _σ(σ ⁽¹⁾，…，σ ^(m)，params，aux _σ)，其中，f _σ是关于σ ⁽¹⁾，…，σ ^(m)，
的函数，aux _σ是可为空的σ的辅助参数集合； 14) Obtain σ=f _σ (σ ⁽¹⁾ …,σ ^(m) ,params,aux _σ ), where f _σ is about σ ⁽¹⁾ …,σ ^(m) ,
Function of, aux _σ is a set of auxiliary parameters of _σ that can be empty;

15)得到
其中，
是关于
的函数，
是可为空的t ₀的辅助参数集合； 15) get
among them,
its about
The function,
Is a nullable auxiliary parameter set of t ₀ ;

16)得到σ′＝f _σ′(c，t ₀，params，aux _σ′)，其中，f _σ′是关于c，t ₀，params，aux _σ′的函数，aux _σ′是可为空的σ′的辅助参数集合； 16) Obtain σ′=f _σ′ (c, t ₀ , params, aux _σ′ ), where f _σ′ is a function of c, t ₀ , params, aux _σ′ , and aux _σ′ is nullable σ'auxiliary parameter set;

17)得到
其中，f _h是关于
的函数，
是可为空的h的辅助参数集合； 17) get
Where f _h is about
The function,
Is the set of auxiliary parameters of h that can be empty;

18)判断条件R _h
是否成立，其中，
是可为空的R _h的辅助参数集合；若不成立，则回到第6)步，循环运行直至R _h成立； 18) Judgment condition R _h
Whether it is established, among which,
Is the set of auxiliary parameters of R _h that can be empty; if not, go back to step 6), and run cyclically until R _{h is} established;

19)输出签名(z，c，h)；19) Output signature (z, c, h);

Verify(·)是验签算法，算法输入包含***参数params，公钥pk，消息μ和签名(z，c，h)，输出1或者0，其中，1表示验签通过，0表示不通过；算法运行如下：Verify(·) is a verification algorithm. The input of the algorithm includes system parameters params, public key pk, message μ and signature (z, c, h), and outputs 1 or 0, where 1 means the verification is passed, and 0 means not. The algorithm runs as follows:

1)得到
1) get

2)得到
其中
是关于
的函数，
是可为空的w ₂的辅助参数集合； 2) get
among them
its about
The function,
Is a nullable auxiliary parameter set of w ₂ ;

3)得到
其中，
是关于
的函数，
是可为空的w′ ₂的辅助参数集合； 3) get
among them,
its about
The function,
Is a nullable w′ ₂ auxiliary parameter set;

4)得到c′＝H(w′ ₂，μ，aux _c′)，其中H是一个哈希函数，或单向函数，或转换函数，aux _c′是可为空的c′的辅助参数集合； 4) Obtain c′=H(w′ ₂ , μ, aux _c′ ), where H is a hash function, or one-way function, or conversion function, and aux _c′ is an auxiliary parameter set of _c′ that can be empty ；

5)判断条件
是否成立，其中，
是可为空的R _v的辅助参数集合；若成立，则输出1，否则，输出0。 5) Judgment conditions
Whether it is established, among which,
Is an empty set of auxiliary parameters of R _v ; if it is true, then output 1; otherwise, output 0.
如权利要1所述的方法，其中，代数环R，R _q满足关系R _q＝R/(qR)，其中，环R为Z _q[X]/(X ⁿ+1)，或Z _q[X]/(X ⁿ+X ^n-1+…+1)，或Z _q[X]/(X ⁿ-1)，其中，n是正整数。 The method according to claim 1, wherein the algebraic ring R and R _q satisfy the relationship R _q =R/(qR), wherein the ring R is Z _q [X]/(X ⁿ +1), or Z _q [ X]/(X ⁿ +X ^n-1 +...+1), or Z _q [X]/(X ⁿ -1), where n is a positive integer.
如权利要求1所述方法，其中，aux包含{η，η′，ξ，ζ，γ，B，B′，ω，σ，σ′，g，q′，α，α′，p，p′}的可为空的子集合，其中，η，η′，ξ，ζ，γ，B，B′，ω，σ，σ′，g，p，p′为正整数，p+1＝2 ^p′或否，q′＝lcm(q，k)是 q和k的最小公倍数，α＝q′/q，α′＝q′/k。 The method of claim 1, wherein aux contains {η,η',ξ,ζ,γ,B,B',ω,σ,σ',g,q',α,α',p,p' } Can be an empty subset, where η, η', ξ, ζ, γ, B, B', ω, σ, σ', g, p, p'are positive integers, p+1=2 ^{p '} Or not, q'=1cm(q,k) is the least common multiple of q and k, α=q'/q, α'=q'/k.
如权利要求1所述的方法，其中，
服从
上概率分布。 The method of claim 1, wherein:
obey
The probability distribution.
如权利要求4所述的方法，其中，Sam是扩展输出函数，y～S：＝Sam(x)表示输入为x，按分布S(或集合S上的均匀分布)输出值y。The method according to claim 4, wherein Sam is an extended output function, y~S:=Sam(x) means that the input is x, and the value y is output according to the distribution S (or a uniform distribution on the set S).
如权利要求4所述的方法，其中，ρ是随机种子，即固定长度的随机数。The method of claim 4, wherein ρ is a random seed, that is, a random number with a fixed length.
如权利要求1所述的方法，其中，s可服从
上的均匀分布，或离散高斯分布，其中，Sη表示环R中各个系数属于[-η，η]的多项式全体所构成的集合；e可服从
上的均匀分布，或离散高斯分布，或e＝0。 The method of claim 1, wherein s can obey
The uniform distribution, or discrete Gaussian distribution, where Sη represents the set of all polynomials whose coefficients in the ring R belong to [-η,η]; e can obey
The uniform distribution, or discrete Gaussian distribution, or e=0.
如权利要求1所述的方法，其中，当s，e的每个系数分别服从[-η，η]和[-η‘，η’]上的均匀分布时，s，e可用扩展输出函数Sam输入种子生成。The method according to claim 1, wherein when each coefficient of s and e obeys uniform distribution on [-η,η] and [-η',η'], respectively, s, e can be used as an extended output function Sam Enter seed generation.
如权利要求1所述的方法，其中，
的计算方法包括： The method of claim 1, wherein:
The calculation methods include:

1)t ₁＝(t-t mod ^±2 ^d)/2 ^d，其中，对于任意整数a和正整数b，a mod ^±b表示落在
的唯一整数c，使得b|c-a，这里对于任意实数x，
表示小于或者等于x的最大整数； 1) t ₁ = (tt mod ^± 2 ^d )/2 ^d , where, for any integer a and positive integer b, a mod ^± b means falling in
Unique integer c such that b|ca, where for any real number x,
Represents the largest integer less than or equal to x;

2)t ₁＝(t-t mod 2 ^d)/2 ^d，其中，对于任意整数a和正整数b，a mod b表示落在[0，b-1]的唯一整数c，使得b|c-a。 2) t ₁ = (tt mod 2 ^d )/2 ^d , where, for any integer a and positive integer b, a mod b represents a unique integer c falling in [0, b-1], such that b|ca.
如权利要求1所述的方法，其中，生成A所需的信息可包含随机种子ρ。The method of claim 1, wherein the information required to generate A may include a random seed p.
如权利要求1所述的方法，其中，aux _sk可包含公钥pk或t ₁。 The method according to claim 1, wherein aux _sk may include a public key pk or t ₁ .
如权利要求1所述的方法，其中，
的计算方法包括：t _0，0＝t-t ₁·2 ^d。 The method of claim 1, wherein:
The calculation method of, includes: t _0,0 =tt ₁ ·2 ^d .
如权利要求1所述的方法，其中，
的计算方法为：把e ₀赋值为e，即e ₀←e。 The method of claim 1, wherein:
The calculation method of is: assign e ₀ to e, that is, e ₀ ←e.
如权利要求1所述的方法，其中，

的计算方法包括： The method of claim 1, wherein:

The calculation methods include:

1)将t _0，0的若干维的若干个比特进行翻转； 1) Flip several bits of several dimensions of t _0,0 ;

2)将t _0，0若干维的若干个比特变成0； 2) Turn several bits of t _{0, 0} into 0;

3)将t _0，0若干维的若干个比特变成1； 3) Turn several bits of t _{0, 0} into 1;

4)将t _0，0若干维的若干个比特进行翻转，或变成0，或变成1； 4) Flip several bits of t _{0, 0 in} several dimensions, or turn them into 0 or 1;

5)将t _0，0若干维的若干个比特进行随机替换； 5) Randomly replace several bits of t _{0, 0} dimensions;

6)上述五种方法的组合。6) A combination of the above five methods.
如权利要求1所述的方法，其中，
的计算方法包括： The method of claim 1, wherein:
The calculation methods include:

1)Δ _i＝t _0，i-t _0，0；或 1) Δ _i = t _{0, i-} t _0, ₀ ; or

2)Δ _i＝t _0，0-t _0，i。 2) Δ _i = t _0,0- t _0,i .
如权利要求1所述的方法，其中，
的计算方法包括： The method of claim 1, wherein:
The calculation methods include:

1)e _i＝e ₀-Δ _i；或 1) e _i = e ₀ -Δ _i ; or

2)e _i＝e ₀+Δ _i。 2) e _i =e ₀ +Δ _i .
如权利要求1所述的方法，其中t _0，i，Δ _i，e _i的计算根据i的取值循环生成。 The method according to claim 1, wherein the calculation of t _{0, i} , Δ _i , e _i is generated cyclically according to the value of i.
如权利要求1所述的方法，其中，
可服从
上均匀分布，或标准差为σ的离散高斯分布；
可服从
上均匀分布，或标准差为σ′的离散高斯分布；其中B，B′，σ，σ′是辅助参数。 The method of claim 1, wherein:
Obeyable
The upper uniform distribution, or the discrete Gaussian distribution with standard deviation σ;
Obeyable
The upper uniform distribution, or discrete Gaussian distribution with standard deviation σ'; where B, B', σ, σ'are auxiliary parameters.
如权利要求18所述的方法，其中，y，y′可用扩展输出函数Sam输入种子、公钥pk、aux _sk、aux _y的一个非空子集确定性地生成，其中aux _y是可为空的集合。 The method according to claim 18, wherein y, y'can be generated deterministically with a non-empty subset of the extended output function Sam input seed, public key pk, aux _sk and aux _y , wherein aux _y is nullable set.
如权利要求1所述的方法，其中，
的计算方法为：w ₁←HighBits _q，k(w，params)，其中HighBits _q，k是一个转换函数。 The method of claim 1, wherein:
The calculation method of is: w ₁ ←HighBits _q,k (w,params), where HighBits _q,k is a conversion function.
如权利要求20所述的方法，其中，对于r∈Z _q，HighBits _q，k(r，params)算法运行如下： The method of claim 20, wherein, for r ∈ Z _q , the HighBits _{q, k} (r, params) algorithm runs as follows:

1)计算(r ₁，r ₀)←Con(r，params)，其中Con是一个编码算法； 1) Calculate (r ₁ , r ₀ )←Con(r, params), where Con is an encoding algorithm;

2)输出r ₁， 2) Output r ₁ ,

若算法HighBits _q，k(·)输入
和公共参数params，则意味着对多项式向量w中的每个系数分别使用HighBits _q，k算法。 If the algorithm HighBits _{q, k} (·) is input
And the common parameter params, it means to use the HighBits _q,k algorithm for each coefficient in the polynomial vector w.
如权利要求21所述的方法，其中，编码算法Con(·)输入包含r∈Z _q和公共参数params，算法对r∈Z _q基于params进行编码，输出包含(r ₁，r ₀)，其中r ₁∈Z _k，r ₀∈Z _t，k是***参数，t是整数；若算法Con(·)输入
和公共参数 params，则意味着对多项式向量w中的每个系数分别使用Con算法。 The method according to claim 21, wherein the input of the encoding algorithm Con(·) contains r∈Z _q and a common parameter params, the algorithm encodes r∈Z _q based on params, and the output contains (r ₁ , r ₀ ), where r ₁ ∈Z _k , r ₀ ∈Z _t , k is the system parameter, t is an integer; if the algorithm Con(·) is input
And the common parameter params means to use the Con algorithm for each coefficient in the polynomial vector w.
如权利要求22所述的方法，其中，r ₀∈Z _t中整数t的取值包含：t＝g或t＝g+1。 The method according to claim 22, wherein the value of the integer t in r ₀ ∈ Z _t includes: t=g or t=g+1.
如权利要求21所述的方法，其中，Con(r，params)算法运行如下：The method of claim 21, wherein the Con(r, params) algorithm operates as follows:

1)计算σ _A∈Z _q′； 1) Calculate σ _A ∈Z _q′ ;

2)计算r ₀； 2) Calculate r ₀ ;

3)计算r ₁； 3) Calculate r ₁ ;

4)返回(r ₁，r ₀)。 4) Return (r ₁ , r ₀ ).
如权利要求24所述的方法，其中，σ _A的计算方法包括：从集合[0，α-1]或集合
中选取确定的元素e，特别地，取e＝0；计算σ _A＝αr+e∈Z _q′。 The method according to claim 24, wherein the calculation method of σ _A includes: from the set [0, α-1] or the set
Select a certain element e in, in particular, take e=0; calculate σ _A =αr+eεZ _q′ .
如权利要求25所述的方法，其中，σ _A＝αr+e∈Z _q′的计算方法包括： The method according to claim 25, wherein the calculation method of σ _A =αr+e∈Z _q′ comprises:

1)σ _A＝αr+e mod q′，或 1) σ _A =αr+e mod q′, or

2)σ _A＝αr+e mod ^±q′。 2) σ _A =αr+e mod ^± q'.
如权利要求24所述的方法，其中，

是关于σ _A，α，α′，k的函数。 The method of claim 24, wherein:

Is a function of σ _A , α, α′, k.
如权利要求27所述的方法，其中r ₀的计算方法包括： The method of claim 27, wherein the calculation method of r ₀ comprises:

1)计算r ₀＝σ _A mod ^±α′，或 1) Calculate r ₀ =σ _A mod ^± α′, or

2)计算r ₀＝σ _A mod α′，或 2) Calculate r ₀ =σ _A mod α′, or

3)计算
或 3) Calculation
or

4)计算
或 4) Calculation
or

5)计算
或 5) Calculation
or

6)计算
6) Calculation

其中，k，q是***参数，g，α′是辅助参数；对于任意实数a，
表示与a最接近的整数。 Among them, k, q are system parameters, g, α'are auxiliary parameters; for any real number a,
Represents the integer closest to a.
如权利要求27所述的方法，其中r ₁的计算方法包括： The method according to claim 27, wherein the calculation method of r ₁ comprises:

1)计算
或 1) Calculation
or

2)计算
或 2) Calculation
or

3)若k，q互素且kr-r ₀＝kq，则令r ₁＝0；否则，计算r ₁＝(kr-r ₀)/q， 3) If k and q are relatively prime and kr-r ₀ =kq, then set r ₁ =0; otherwise, calculate r ₁ =(kr-r ₀ )/q,

其中，k，q是***参数，α′是辅助参数。Among them, k, q are system parameters, and α'are auxiliary parameters.
如权利要求1所述的方法，其中，
的计算方法包括： The method of claim 1, wherein:
The calculation methods include:

1)
或 1)
or

2)
2)

其中，k，q是***参数。Among them, k, q are system parameters.
如权利要求1所述的方法，其中，aux _c包含pk和/或params和/或公钥证书certificate全部或部分信息。 The method according to claim 1, wherein aux _c contains all or part of the information of pk and/or params and/or public key certificate certificate.
如权利要求1所述的方法，其中，z＝f _z(pk，y，s，w ₁，c，μ，aux _z)的计算方法包括：
The method of claim 1, wherein the calculation method of z=f _z (pk, y, s, w ₁ , c, μ, aux _z ) comprises:
如权利要求1所述的方法，其中，条件
包括：||z|| _∞＜ξ，其中，ξ是辅助参数；对于任意a∈R，||a|| _∞表示多项式a的所有系数的绝对值的最大值；对于任意a＝(a ₁，…，a _b)∈R ^b，b是正整数，||a|| _∞表示||a _i|| _∞，1≤i≤b的最大值。 The method of claim 1, wherein the condition
Including: ||z|| _∞ ＜ξ, where ξ is an auxiliary parameter; for any a∈R, ||a|| _∞ represents the maximum value of the absolute value of all the coefficients of the polynomial a; for any a=(a ₁ ,..., a _b )∈R ^b , b is a positive integer, and ||a|| _∞ means ||a _i || _∞ , the maximum value of 1≤i≤b.
如权利要求1所述的方法，其中，条件
的判断步骤包含： The method of claim 1, wherein the condition
The judgment steps include:

a)选取b _i∈{0，1}p′； a) Select b _i ∈{0,1}p′;

b)令计数器j _i＝b _i； b) Let the counter j _i =b _i ;

c)计算
c) Calculation

d)计算
d) Calculation

e)判断条件
是否成立，若成立，则记录j _i，σ ⁽ⁱ⁾；否则令j _i＝b _i+1，继续回到c)直至
成立或j _i＝b _i+p+1； e) Judgment conditions
Whether it is true, if it is true, record j _i , σ ⁽ⁱ⁾ ; otherwise, set j _i =b _i +1, and continue to return to c) until
It is true or j _i =b _i +p+1;

f)若j _i＝b _i+p+1，则判定
不成立。 f) If j _i =b _i +p+1, then judge
invalid.
如权利要求34所述的方法，其中，步骤b)-f)可通过for循环语句实现。The method according to claim 34, wherein steps b)-f) can be implemented by a for loop statement.
如权利要求34所述的方法，其中，
可通过计算

获得。 The method of claim 34, wherein:
Can be calculated

obtain.
如权利要求34所述的方法，其中，条件
包含：
其中，ζ是辅助参数。 The method of claim 34, wherein the condition
contain:
Among them, ζ is an auxiliary parameter.
如权利要求1所述的方法，其中，σ＝f _σ(σ ⁽¹⁾，…，σ ^(m)，params，aux _σ)的计算方法包括：σ＝(σ ⁽¹⁾，…，σ ^(m))。 The method according to claim 1, wherein the calculation method of σ=f _σ (σ ⁽¹⁾ ,...,σ ^(m) ,params,aux _σ ) comprises: σ=(σ ⁽¹⁾ ,...,σ ^{( m)} ).
如权利要求1所述的方法，其中，

的计算方法包括：

The method of claim 1, wherein:

The calculation methods include:
如权利要求1所述的方法，其中，σ′＝f _σ′(c，t ₀，params，aux _σ′)的计算方法包括： The method according to claim 1, wherein the calculation method of σ′=f _σ′ (c, t ₀ , params, aux _σ′ ) comprises:

1)σ′＝ct ₀； 1)σ′=ct ₀ ;

2)σ′＝-ct ₀。 2) σ'=-ct ₀ .
如权利要求1所述的方法，其中，

的计算方法包括： The method of claim 1, wherein:

The calculation methods include:

1)h＝MakeHint(-σ′，σ+σ′，params)，其中MakeHint是一个转换函数；或1) h=MakeHint(-σ′,σ+σ′,params), where MakeHint is a conversion function; or

2)h＝MakeHint(σ′，σ-σ′，params)，或2) h=MakeHint(σ′,σ-σ′,params), or

3)h＝MakeGHint(-σ′，σ+σ′，params)，或3) h=MakeGHint(-σ′,σ+σ′,params), or

4)h＝MakeGHint(σ′，σ-σ′，params)。4) h=MakeGHint(σ',σ-σ',params).
如权利要求41所述的方法，其中，对于z∈Z _q，r∈Z _q，算法MakeHint(z，r，params)的计算方法如下： The method according to claim 41, wherein for z∈Z _q and r∈Z _q , the calculation method of the algorithm MakeHint(z, r, params) is as follows:

1)r ₁＝HighBits _q，k(r，params)； 1) r ₁ =HighBits _{q, k} (r, params);

2)v ₁＝HighBits _q，k(r+z，params)； 2) v ₁ =HighBits _{q, k} (r+z, params);

3)若r ₁＝v ₁，则返回0；否则，返回1， 3) If r ₁ =v ₁ , return 0; otherwise, return 1.

若算法MakeH int(·)输入z′，
和公共参数params，其中a是正整数，则意味着对多项式向量z′，
中的每组对应的系数分别使用MakeHint算法。 If the algorithm MakeH int(·) inputs z′,
And the public parameter params, where a is a positive integer, it means that for the polynomial vector z′,
The coefficients corresponding to each group in each use the MakeHint algorithm.
如权利要求41所述的方法，其中，对于z∈Z _q，r∈Z _q，算法MakeGHint(z，r，params)的计算方法如下： The method according to claim 41, wherein, for z∈Z _q , r∈Z _q , the calculation method of the algorithm MakeGHint(z, r, params) is as follows:

1)r ₁＝HighBits _q，k(r，params)； 1) r ₁ =HighBits _{q, k} (r, params);

2)v ₁＝HighBits _q，k(r+z，params)； 2) v ₁ =HighBits _{q, k} (r+z, params);

3)返回h＝(v ₁-r ₁)mod ^±k或h＝(v ₁-r ₁)mod k， 3) Return h=(v ₁ -r ₁ )mod ^± k or h=(v ₁ -r ₁ )mod k,

若算法MakeGH int(·)输入z′，
和公共参数params，其中a是正整数，则意味着对多项式向量z′，
中的每组对应的系数分别使用MakeGHint算法。 If the algorithm MakeGH int(·) inputs z′,
And the public parameter params, where a is a positive integer, it means that for the polynomial vector z′,
The coefficients corresponding to each group in each use MakeGHint algorithm.
如权利要求1所述的方法，其中，条件
包括：||σ′|| _∞＜γ和#h≤ω，其中，γ是辅助参数对于h∈{0，1} ^a，a是正整数，#h表示多项式向量h中系数1的个数。 The method of claim 1, wherein the condition
Including: ||σ′|| _∞ <γ and #h≤ω, where γ is an auxiliary parameter. For h∈{0,1} ^a , a is a positive integer, and #h represents the number of coefficient 1 in the polynomial vector h.
如权利要求1所述的方法，其中，
的计算方法包括： The method of claim 1, wherein:
The calculation methods include:

1)
或 1)
or

2)
或 2)
or

3)
3)

其中，
是关于
的函数，
Re c是解码函数。 among them,
its about
The function,
Re c is the decoding function.
如权利要求45所述的方法，其中，
的计算方法包括：
其中，d是***参数。 The method of claim 45, wherein:
The calculation methods include:
Among them, d is a system parameter.
如权利要求45所述的方法，其中，解码算法Re c(·)，算法输入包含r′∈Z _q，r ₀∈Z _t和***参数params，其中，(r ₁，r ₀)←Con(r，params)，r∈Z _q，|r′-r| _q≤d′，d′为一个整数；对于任意整数a，|a| _q定义为min{a mod q，q-a mod q}，min{·}定义为取最小值；算法对r′∈Z _q，r ₀∈Z _t基于params进行解码，输出包含r′ ₁，其中r′ ₁∈Z _k，k是***参数；若r′与r的距离d′满足一定的限制条件，则r′ ₁＝r ₁，双方纠错成功。 The method according to claim 45, wherein the decoding algorithm Re c(·), the algorithm input includes r′∈Z _q , r ₀ ∈ Z _t and system parameters params, where (r ₁ , r ₀ )←Con( r, params), r∈Z _q , |r′-r| _q ≤d′, d′ is an integer; for any integer a, |a| _{q is} defined as min{a mod q, qa mod q}, min {·} is defined as the minimum value; the algorithm decodes r′ ∈ Z _q , r ₀ ∈ Z _t based on params, and the output contains r′ ₁ , where r′ ₁ ∈ Z _k , k is the system parameter; if r′ and The distance d′ of r satisfies certain restriction conditions, then r′ ₁ =r ₁ , and both parties succeed in error correction.
如权利要求47所述的方法，其中，Re c(r′，r ₀，params)的计算方法包括： The method according to claim 47, wherein the calculation method of Re c(r', r ₀ , params) comprises:

1)
或 1)
or

2)
或 2)
or

3)
其中c′是一个实数。 3)
Where c'is a real number.
如权利要求47所述的方法，其中，d′满足的关系式包含：The method of claim 47, wherein the relational expression satisfied by d'comprises:

1)(2d′+1)k＜q(1-1/g)，或1)(2d′+1)k＜q(1-1/g), or

2)(2d′+2)k＜q(1-1/g)，或2)(2d′+2)k＜q(1-1/g), or

3)(2d′+1)k＜q(1-2τ/g)，其中τ为max{|c|，|1-c|}，对于任意实数a，|a|表示取a的绝对值，max{·}定义为取最大值，或3)(2d′+1)k<q(1-2τ/g), where τ is max{|c|, |1-c|}, for any real number a, |a| represents the absolute value of a, max{·} is defined as the maximum value, or

4)(d′+1)k＜q(1/2-τ/g)，或4)(d′+1)k＜q(1/2-τ/g), or

5)2kd′＜q，或5) 2kd'＜q, or

6)2k(d′+1)＜q。6) 2k(d′+1)<q.
如权利要求48所述的方法，其中，c′为实数，满足0≤c′≤1。The method according to claim 48, wherein c'is a real number and satisfies 0≤c'≤1.
如权利要求45所述的方法，其中，对于h∈{0，1}，r∈Z _q，算法UseHint(h， r，params)的计算方法如下： The method of claim 45, wherein for h ∈ {0, 1}, r ∈ Z _q , the calculation method of the algorithm UseHint(h, r, params) is as follows:

1)(r ₁，r ₀)＝Con(r，params)； 1) (r ₁ , r ₀ )=Con(r, params);

2)若h＝1且r ₀＞0，返回(r ₁+1)mod k；若h＝1且r ₀＜0，返回(r ₁-1)mod k；否则，若h＝0，返回r ₁。 2) If h=1 and r ₀ ＞0, return (r ₁ +1) mod k; if h=1 and r ₀ ＜0, return (r ₁ -1) mod k; otherwise, if h=0, return r ₁ .
如权利要求45所述的方法，其中，对于h∈{0，1}，r∈Z _q，算法UseGHint(h，r，params)的计算方法如下： The method of claim 45, wherein for h ∈ {0, 1}, r ∈ Z _q , the calculation method of the algorithm UseGHint(h, r, params) is as follows:

1)r ₁＝HighBits(r，params)； 1) r ₁ = HighBits(r, params);

2)返回(r ₁+h)mod k。 2) Return (r ₁ +h)mod k.
如权利要求1所述的方法，其中，
的计算方法包括： The method of claim 1, wherein:
The calculation methods include:

1)
或 1)
or

2)
2)
如权利要求1所述的方法，其中，aux _c′包含pk和/或params和/或公钥证书certificate。 The method according to claim 1, wherein, aux _{c 'comprises} pk and / or params and / or public key certificate certificate.
如权利要求1所述的方法，其中，条件
包括：， The method of claim 1, wherein the condition
include:,

1)c＝c′且||z|| _∞＜ξ，或 1) c=c′ and ||z|| _∞ ＜ξ, or

2)c＝c′且||z|| _∞＜ξ且#h≤ω； 2) c=c′ and ||z|| _∞ <ξ and #h≤ω;

其中，ξ，ω是辅助参数。Among them, ξ and ω are auxiliary parameters.
如权利要求19所述的方法，如权利要求18所述的方法，其中，aux _sk包含一个随机数种子K，aux _y包含一个计数器counter用于记录每次签名时对第6)步的第counter次执行。 The method according to claim 19, wherein the method according to claim 18, wherein aux _sk contains a random number seed K, and aux _y contains a counter counter used to record the counter of step 6) each time the signature is signed. Time execution.
如权利要求56所述的方法，y，y′由Expand(ρ，K，tr，counter)确定性地生成，其中tr＝CRH(ρ，K)，CRH是一个抗碰撞的密码哈希函数，Expand是一个确定性的扩展函数。The method according to claim 56, y, y'are deterministically generated by Expand(ρ, K, tr, counter), where tr=CRH(ρ, K), CRH is an anti-collision cryptographic hash function, Expand is a deterministic expansion function.
如权利要求34所述的方法，其中，随机选取b _i←{0，1} ^p′，或b _i被设定为{0，1} ^p′，或b _i从{pk，ρ，K，tr，aux _sk，aux _y}确定性地导出。 The method of claim 34, wherein b _i ←{0,1} ^{p′ is} randomly selected, or b _i is set to {0,1} ^p′ , or b _{i is} selected from {pk, ρ, K, tr, aux _sk , aux _y } are derived deterministically.
如权利要求58所述的方法，其中，b _i在得到y，y′过程中同时导出。 The method of claim 58, wherein, b _i derived at the same time to give y, y 'process.
如权利要求1所述的方法，签名过程中所需生成的t _0，i、Δ _i、e _i可以在签名之前离线计算并存储，或其部分或全体放在aux _sk作为私钥的一部分。 The method according to claim 1, generated in the signing process required for _{_{t 0, i, Δ i,}} e i may be calculated offline and stored before the signature, in part or in whole, or as part of the private key aux _sk.