1 引言

目前,协议在计算机安全和智能卡安全中处于关键地位.零知识协议是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的.实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤.证明者向验证者证明并使其相信自己知道或拥有某一消息,但证明过程不能向验证者泄漏任何关于被证明消息的信息.大多数实际使用的零知识协议基于大整数因子分解的困难问题和离散对数困难问题设计的.至少有两个原因值得研究:一方面,基于大整数因子分解和离散对数的协议在计算复杂性方面代价比较高;另一方面,存在多项式计算复杂度的量子算法求解这两个困难问题.因此,若实用的量子计算机出现,则基于这两个类困难问题的协议将导致无效.

近两年来量子计算机发展迅速,2016年,IBM向公众开放试用“量子计算机”,IBM成功创建了一个5 qubit级的计算机工作原型,并且在互联网上对公众进行开放.2017年,世界首台光量子计算机原型在中国诞生.2018年2月,中科院、中科大、阿里云联合发布11量子比特云接入超导量子服务,研制出了12量子比特的超导量子计算处理器,并且实现了64量子比特的量子电路模拟,打破了IBM 56量子比特的量子电路模拟记录.2018年3月,谷歌发布全球首个72比特的通用量子计算机,实现了1%的低错误率,与9个量子比特的量子计算机持平,可实现量子霸权.目前有许多密码学者一直致力于具有抗量子计算潜力的公钥密码的研究[1–9].多年来许多基于非线性陷门函数和NPC问题的协议被提出,例如,基于格的非交互式零知识(non-interactive zero-know ledge,NIZK)证明系统[10],基于多变量公钥密码体制的零知识证明协议[11],基于群自同构的零知识证明协议[12].K iltz等基于矩阵分解和双线性函数提出了一个简单高效的伪适应性非交互式零知识证明(quasi-adap tive NIZK,QANIZK)协议[13].然而,零知识交互式系统证明的攻击也有很多研究成果[14–17].相关密钥攻击已经对许多密码进行研究.Lenstra等搜集了大量的公开获取的公钥并且发现RSA密码公钥以0.2的概率发现共同素数.由于在密钥产生过程熵信息不足,Heninger等发现0.75%的TLS无认证共享密钥并且获得0.5%TLS hosts和0.03%SSH hosts中的RSA私钥,这是因为它们的公钥共享不平凡的共同因子.签名随机性不足,获得0.5%TLS hosts的DSA私钥[18].

本文中,我们对修正的线性子空间QANIZK的进行密码分析研究.对于基于矩阵Diffi e-Hellm an问题的NIZK,我们首先提出了一个新的相关随机攻击方法.证明了方案恢复等价密钥等价于求解一个隐藏于代数系统里的线性方程组.接着我们提出了相应的算法描述、有效性分析、成功概率和一个攻击实例.

论文组织如下:第2节介绍本文所需的基础数学知识.第3节描述文献[13]提出的非交互式零知识证明构造.第4、5节提供攻击方法、算法描述和有效性分析,以及一个攻击实例.最后,第6节是对本文的总结和未来研究的展望.

准确称量50 g各干燥模式下最终毛叶山桐子，放入小型榨油机进行压榨，收集毛油，测定各组中毛叶山桐子果实榨取的毛油质量，重复3次，按照公式（4）计算出油率，并进行对比。

对多次点炉、拆开回火器和烧嘴，利用废布在炉口燃烧实验等措施进行分析，发现造成绿色、紫色回火器炸裂的主因是C排以上形成“锅盖”，炉内燃烧气氛上行受阻，导致回火器和防爆片炸裂；而“锅盖”成因主要是C5水冷套管内部有3个砂眼漏水，停炉后吹扫过程中，由于被汽化的水蒸汽比空气的比热大，冷却过程中带走热量更多，散热速度快，C排以上一些已熔化的铜在吹风时下落，下落至C排以上立即凝固，因此堵塞气体上行的缝隙，加之炉内上部电铜的重力作用，使得C排以上电铜形成一层密封严实的电铜块，即形成“锅盖”；点炉过程中，将易燃的废布、木块丢进炉口后，未见明显火焰、气流上升，则说明炉内气氛上升受阻。

2 基础数学知识

根据命题1,能够伪造该签名方案的概率大约是

 

Verify(crs,π): 解析 π =(π1,π2). 检验等式是否成立 e(π1,[A]2)=e([y T]1,[C]2)=e(π2,[C 0+τC 1]2)返回 π:=([y T K+r T(P 0+τP 1)]1,[r T B T]1)

 

定义1(矩阵 -向量内积)已知矩阵 [A]=[(a ij)]∈G m×n和向量 u=(u1,···,u n)∈Z np,那么内积[A·u]∈G m能够通过如下等式计算:

 

类似的,内积[A·u]能够通过[A]和u计算,或者通过A和[u]计算.

若已知通过下式计算可得:

 

定义2(矩阵-矩阵内积)已知矩阵 [A]=[(a ij)]∈G m×n和矩阵那么内积[A·B]∈G m×m通过如下等式计算:

 

类似地,内积[A·B]能够通过[A]和B计算,或者通过A和[B]计算.

若已知通过下式计算可得:

 

选择g b m od p=18446744073706143757,那么

定义4(D k-MDDH问题)假定D k是一个矩阵分布并且s∈{1,2,T}.相对于群G s中的GGen算法,D k-MDDH困难问题假设成立,若对于任意的概率多项式时间(PPT)攻击者A,优势函数

 

3 线性子空间N IZK方案描述

这部分我们简要描述基于线性子空间的伪适应性非交互式零知识证明方案[12].

当空气源热泵承担设计负荷在50%以下时，随着空气源热泵承担设计负荷的升高，运行费用下降的速度超过投资年值增长的速度，费用年值降低.这一阶段空气源热泵制热量增速较快，占整个采暖季的制热量从0%增长到86.30%，平均空气源热泵承担设计负荷每增加1%，空气源热泵制热量在整个采暖季的制热量占比增加1.726%.当空气源热泵承担设计负荷50%以上时，费用年值随空气源热泵承担设计负荷的增加而增加，空气源热泵制热量在整个采暖季制热量的占比增速较慢，平均空气源热泵承担设计负荷每增加1%，空气源热泵制热量在整个采暖季的制热量占比增加0.189%，增速为上一阶段的10.9%.

3.1 基于线性子空间的签名方案描述

密钥产生阶段:

公钥 crs:=([P 0]1,[P 1]1,[B]1,[C]2,[C 0]2,[C 1]2,[A]2,τ);私钥 K.返回 σ:=([m T K+r(P0+τP1)]1),[r T B T]1)

Verify(crs,[m]1,σ):解析 σ =(σ1,σ2).检验等式是否成立 e(σ1,[A]2)=e([m T]1,[C]2)·e(σ2,[C 0+τC 1]2)

3.2 QAN IZK构造的描述

3.2.1 线性空间自适应的合理性QANIZ K

密钥产生阶段:

公钥crs:=([M]1,[y]1,[P]1,[C]2,[A]2);

私钥:K,x.

Prove(crs,x):返回

Sim(crs,K):返回

Verify(crs,π):检验等式 e(π,[A]2)=e([y T]1,[C]2)是否成立.

若存在一个有效的取样分布有相同的分布,则称为W S分布.

令是矩阵中上方的阶方阵.对于W S分布具有自适应的合理性QANIZK是通过对于线性空间具有自适应的合理性QANIZK得到.

本次实验结合测区地形，将无人机航飞前布设好的“十字型”、规格为0.4 m×1.0 m的油漆点与石灰标志点作为“像控点”，并以厘米级高精度似大地精化水准面(2.5′×2.5′)为基准，采用SCGNSS卫星定位连续运行基准服务平台进行联测、拟合。

3.2.2 自适应一次模拟合理性的QANIZK

密钥产生阶段:(C 0,C 1):=(K 0 A,K 1 A),y=M x.定义标签空间T=Z q.

公钥 crs:=([P 0]1,[P 1]1,[C 0]2,[C 1]2,[A]2,τ,[y]1);

私钥:(K 0,K 1,x).

Prove(crs,x):返回

Sim(crs,(K 0,K 1)):返回

当地种植的大田作物主要有水稻、玉米、小麦等。当前除了冬小麦播种有少量用肥需求，当地已经基本进入用肥淡季。受化肥价格持续高位影响，加上农产品的价格低，当地农民用肥量有所减少，尤其在施肥结构方面，因尿素的价格大大高于往年同期，所以很多农民尿素的使用量大大降低，相应地，复合肥的使用量有所增加。

Verify(crs,π):检验等式是否成立 e(π,[A]2)=e([y T]1,[C]2)

3.2.3 一般的QANIZK构造

若寻找任意的一组解满足线性方程组(5),那么进而可以得到

公钥 crs:=([P]1,[P 0]1,[P 1]1,[B]1,[C]2,[C 0]2,[C 1]2,[A]2,τ,[y]1);

五是实行重点项目带动。比如像小农水重点县、大型灌区的改造、节水灌溉推广等很多项目可以带动农民兴修水利。

私钥:K,x.

因此,能够从([B]1,[P0]1,[P 1]1,[C]2,[C 0]2,[C 1]2,[A]2)中分别得到矩阵方程组(1)可以转化为方程组(3)如下:

这当儿，那姑娘正用眼睛打量着我们，不过眼光和何大爷不一样，是疑问，还是责备？当她的目光扫到我的时候，我故意昂起头，像演员那样做大幅度动作，也不知是气她还是逞强。唉！现在有了这个“特别观众”，不用烟袋锅也没人闹了。脏话、屁话也无人敢说了，太不随便了，我真后悔到这儿来！

其中,G1,G2,G T相对于λ比特的素数都是q阶的循环群.G1,G2,G T分别是群q,g1,g2的生成元.符号”±”有如下简单的性质:

座椅处振动的均方根值较大,使得驾驶室的驾乘舒适性较差.将此测点处降噪后的信号进行频响分析,找出该处的振动特性.通过将其进行快速傅立叶变换(Fast Fourier Transformation,FFT)后,得出座椅处的频响特性,如图10所示.由图10可得座椅处在4种不同车速下,其主要振动频段在0～10 Hz的范围内,刚好与人体敏感频段重叠.故该类矿用自卸车在任何速度下的驾乘舒适性均不太理想,且车速为30 km/h时的舒适性最差.因此,后续需要对车辆的簧载悬架系统、驾驶室悬置系统和座椅减振系统进行优化,以降低振动幅度提升驾乘舒适性.

4 QAN IZK类型的方案攻击

本节我们对基于线性子空间的QANIZK方案进行密码分析.

育成期饲养试验结束后（鸡只13周龄末），随鸡群转入产蛋舍进行后续产蛋性能的记录。从见蛋开始记录每个处理产蛋数与产蛋率，连续观察10 d。

4.1 密钥相关攻击基于线性子空间的签名方案

给定循环群G=G1=,根据D k-MDDH假设,从g B=[B]1=g b e B中求出矩阵B是困难的.攻击者从[B]1=(g b ij)m×n中的元素利用穷搜索方法寻找一个小于常数q的b i0 j0=b,若m×n的矩阵中任一个元素[B]1以概率-能够求解g e b ij,那么攻击者能够以如下概率求出

对于生活教师而言，其作为寄宿制学校中负责学生住宿安全的第一责任人，承担着重要的岗位责任。因此，农村寄宿制学校必须致力于打造具备较高职业素养和奉献精神的专业化生活教师师资队伍。具体的做法是：

 

成功概率Prsucc中方幂形式通过如下Tay lor公式展开后转化所得.其中,l=q−x,(1+

任意一个大于0的数可以由2的方幂形式表示,不妨设l=2c,其中c=log2 l.q是λ比特的数,q≈ 2λ.当时,攻击者概率Pr succ

 

对于线性空间的签名构造,攻击者A能够得到信息([B]1,[P 0]1,[P 1]1,[C]2,[C 0]2,[C 1]2,[A]2,τ).由于

 

因此,攻击者求解一组解矩阵(K,K 0,K 1)满足下面方程组

 

若攻击者能够在[X]1里穷搜索G= a>,使得从[X]1=g X=g a e X中在多项式计算复杂度内得到并且也能够从[Y]2=g Y=g b e Y中通过穷搜索G= b>在多项式计算复杂度内得到矩阵 ,则对于[P 0]1,[P 1]1,[B]1,[C]2,[C 0]2,[C 1]2,[A]2,攻击者能够从[C 0]2,[C 1]2,[A]2中分别获得同时从([B]1,[P 0]1,[P 1]1)中分别获得进而可得

 

Prove(crs,x):返回 π:=([x T P+r(P0+τP1)]1),[r T B T]1)

 

在方程组(2)中用两种不同生成元只是单纯说明[X]1和[Y]1不同生成元的情况.这里研究的方案生成元相同,也就是a与b相等.若能求出满足线性方程组(3)的任意一组解那么根据

 

通过将上面的攻击方法应用到基于线性空间的签名方案,那么能够获得伪造签名.

命题 1若攻击者能够求出满足上述线性方程组(3)中的未知解矩阵,那么对于线性空间的签名方案构造能够以概率被伪造.

紧急切断阀应具有自动和手动关闭功能，手动关闭功能包括控制室遥控关闭和现场手动关闭[9]。当液位高高或低低报警时通过SIS完成联锁紧急切断功能，及时切断储罐进出口管道上的进出口阀门，避免溢油冒罐或抽瘪储罐的情况发生；同时，在操作站设置紧急切断阀的远程控制开关，或在SIS辅操台上设置紧急关阀按钮，便于操作人员在发生火灾或安全联锁失效等突发状况时能够远程手动切断阀门；另外，安装于火灾危险区域外的现场操作开关可以使现场人员在第一时间发现异常后及时切断阀门，防止事故升级。

证明: 若攻击者能够求出满足式 (3)中的未知解矩阵并且分别从([B]1,[P 0]1,[P 1]1,[C]2,[C 0]2,[C 1]2,[A]2)中得到.这个伪造的签名攻击如下:返回伪造签名验证等式

因为

 

因此,接受该伪造的签名.

下面评估从([C]2,[C 0]2,[C 1]2,[A]2,[B]1,[P 0]1,[P 1]1)中获得的成功概率Pr su cc.因为从[X]1和[Y]2中分别得到[X]和[Y]相互独立,那么对线性空间的签名伪造概率分析如下:

 

其中 s=2c1,t=2c2.因此,成功概率 Pr su cc=Pr1succ·Pr2su cc.

具体的攻击方法用算法1描述,如下:

 

算法1签名算法攻击

  

Input:([B]1,[P0]1,[P1]1,[C]2,[C0]2,[C1]2,[A]2,τ)Output:result 1for([B]1,[P0]1,[P1]1)do 2 (eC,eC0,eC1,eA)from([C]2,[C0]2,[C1]2,[A]2)andcompute(eB,eP0,eP1);3end 4for线性方程组(3)do 5 求解一组解矩阵(eK,eK0,eK1);6end

综合上述讨论,对算法1性能评估如下:

 

1 算法1的计算复杂度Table 1 Com putational com p lexity of algorithm 1

  

计算内容 计算复杂度 解释说明步骤2 O(12st(n k+6k(k+1))) 小参数的离散对数问题步骤 3 O((n+4k+4)k(n+2k+2)ω−1(k+1)ω−1) (n+4k+4)k个方程组,(n+2k+2)(k+1)个变量

4.2 密钥相关随机攻击QAN IZK构造

利用上述相关随机攻击方法,线性空间具有适应性合理性的QANIZK,具有一次模拟合理性适应性的简单QANIZK和QANIZK也都存在缺陷.

对于线性空间适应性合理性的 QANIZK,攻击者能够得到信息 ([M]1,[P]1,[y]1,[C]2,[A]2).根据π=[x T P]1=[y T K]1=[x T M T K]1,攻击者寻找一组解(x,K)使得:

 

接着利用公共参数,从[M]1,[P]1,[y]1中得到因为

 

密钥产生阶段:M T K,C=KA,(P 0,P 1)=(B T K 0,B T K 1),(C 0,C 1)=(K 0 A,K 1 A),y=M x.

 

因此,并且成功概率其中,t1

对于具有适应性一次模拟合理性的QANIZK方案,攻击者A获得信息([P 0]1,[P 1]1,[C 0]2,[C 1]2,τ,[A]2,[y]1,[M]1).通过 π=[x T(P0+τP 1)]1=[y T(K 0+τK 1)]1=[x T M T(K 0+τK 1)]1,寻找一组解(x,K 0,K 1)使得

 

若能够求出一组解满足线性方程组(7),那么由可以得到

 

5 小例子

为了解释说明对线性空间的QANIZK修正方案相关随机攻击过程,介绍例子如下:选择g a mod p=17509995351216488461,那么

 

 

 

定义3(矩阵分布)假定k∈N.称D k是一个矩阵分布,若矩阵群里多项式时间复杂度内输出秩k为的矩阵

 

因此,我们得到满足线性方程组(3)的一组解

 

给定双线性对(G1,G2,G T)和双线性映射[19]e:G1×G2−→G T.定义矩阵:

 

6 总结

本文对线性子空间的QANIZK修正方案提出了一种相关随机攻击方法.这个攻击方法能够使我们更好的理解基于MDDH问题的线性子空间伪适应性交互式零知识的构造.我们希望该想法在这类方案的实际方案设计和分析中有用.下一步研究工作包括如何提高攻击方法的效率和成功概率或者如何通过其他的非交换代数结构构造具有抗量子计算潜力的交互式零知识证明.

References

[1]ZHANG H G,HAN W B,LA I X J,et al.Survey on cyberspace security[J].SCIENCE CH INA Information Sciences,2015,58(11):1–43.[DO I:10.1007/s11432-015-5433-4]

[2]ARMKNECHT F,GAGLIARDONI T,KATZENBEISSER S,et al.General impossibility of group homomorphic encryption in the quantum world[C].In:Public Key Cryptography—PKC 2014,Springer Berlin Heidelberg,2014:556–573.[DOI:10.1007/978-3-642-54631-0_ 32]

[3]WANG H Z,ZHANG H G,WANG Z Y,et al.Extended multivariate public key cryptosystems With secure encryption function[J].SCIENCE CHINA Information Sciences,2011,54(6):1161–1171.[DOI:10.1007/s11432-011-4262-3]

[4]TSABAN B.Polynomial-time solutions of computational problem s in noncommutative algebraic cryptography[J].Journal of Cryptology,2015,28(3):601–622.[DOI:10.1007/s00145-013-9170-9]

[5]BERNSTEIN D J,LANGE T.Post-quantum cryptography[J].Nature,2017,549(7671):188–194.[DOI:10.1038/nature23461]

[6]DING J,PETZOLDT A.Current state of multivariate cryptography[J].IEEE Security&Privacy,2017,15(4):28–36.[DOI:10.1109/MSP.2017.3151328]

[7]SENDRIER N.Code-based cryptography:State-of-the-art and perspectives[J].IEEE Security&Privacy,2017,15(4):44–50.[DOI:10.1109/MSP.2017.3151345]

[8]BUT IN D.Hash-based signatures:State of play[J].IEEE Security&Privacy,2017,15(4):37–43.[DOI:10.1109/MSP.2017.3151334]

[9]LIU JH,ZHANG H G,JIA JW,et al.Cryptanalysis of an asymmetric cipher protocol using a matrix decomposition problem[J].SCIENCE CHINA Information Sciences,2016,59(5):1–11.[DOI:10.1007/s11432-015-5443-2]

[10]CRÉPEAU C,KAZMIR A.Zero-know ledge interactive proof system s for new lattice problems[C].In:Cryptography and Coding—IMACC 2015.Sp ringer Cham,2015:152–169.[DOI:10.1007/978-3-319-27239-9_9]

[11]WANG S P,YUE B,ZHANG Y L.Zero know ledge proof protocol from multivariate public key cryptosystems[C].In:Proceedings of the 2014 International Conference on Network Security and Communication Engineering(NSCE 2014).Hong Kong,China.December 25–26,2014.CRC Press,2015:7.[DO I:10.1201/b18660-4]

[12]MAURER U.Zero-know ledge proofs of know ledge for group homomorphism s[J].Designs,Codes and Cryptography,2015,77(2/3):663–676.[DO I:10.1007/s10623-015-0103-5]

[13]KILTZ E,WEE H.Quasi-adaptive NIZK for linear subspaces revisited[C].In Advances in Cryptology—EUROCRYPT 2015.Springer Berlin Heidelberg,2015:101–128.[DO I:10.1007/978-3-662-46803-6_4]

[14]KUNZ-JACQUES S,MARTINET G,POUPARD G,et al.Cryptanalysis of an efficient proof of know ledge of discrete logarithm[C].In:Public Key Cryptography—PKC 2006.Sp ringer Berlin Heidelberg,2006:27–43.[DO I:10.1007/11745853-3]

[15]CORON J S,NACCACHE D.Cryptanalysis of a zero-know ledge identification protocol of Eurocrypt 1995[C].In:Topics in Cryptology CT-RSA 2004.Springer Berlin Heidelberg,2004:157–162.[DO I:10.1007/978-3-540-24660-2_13]

[16]GABORIT P,SCHREK J,ZÉMOR G.Full cryptanalysis of the Chen identification protocol[C].In:Post-Quantum Cryptography—PQCryp to 2011.Sp ringer Berlin Heidelberg,2011:35–50.[DOI:10.1007/978-3-642-25405-5_3]

[17]LAI Q Q,YANG B,YU Y,et al.A survey on the construction of hash proof systems based on lattices[J].Journal of Cryptologic Research,2017,4(5):474–484.[DO I:10.13868/j.cnki.jcr.000199]来齐齐,杨波,禹勇,等.基于格的哈希证明系统的构造综述 [J].密码学报,2017,4(5):474–484.[DO I:10.13868/j.cnki.jcr.000199]

[18]HENINGER N,DURUMERIC Z,W USTROW E,et al.Mining your Ps and Qs:Detection of widespread weak keys in network devices[C].In:Proceedings of the 21st USENIX Security Symposium,2012:205–220.

[19]XU J R,CHEN K F,SHEN Z H,et al.Pairing-free certificate-based multi-domain conditional proxy re-encryption scheme[J].Journal of Cryptologic Research,2018,5(1):55–67.[DO I:10.13868/j.cnki.jcr.000218]徐洁如,陈克非,沈忠华,等.无双线性对的基于证书多域条件代理重加密方案[J].密码学报,2018,5(1):55–67.[DO I:10.13868/j.cnki.jcr.000218]