可定制纠错码在格基KEM中的应用及紧凑型ML-KEM实现

摘要

与椭圆曲线密码学相比，格基方案的主要缺点是其公钥和密文的尺寸较大。压缩这些对象的常见方法本质上是丢弃它们的一些最低有效位。尽管对压缩有效，但在获得明显的解密失败率（DFR）之前，可丢弃的比特数存在限制，这是一个安全问题。为解决此问题，本文提出了一系列纠错码，通过允许丢弃更多比特同时保持可忽略的DFR，可用于现代格基方案中的密文和公钥压缩。为展示我们提案的影响和实用性，我们使用了高度优化的ML-KEM，这是NIST最近标准化的后量子格基方案。我们提供了详细的程序，将我们的代码定制到ML-KEM的特定噪声分布，并展示了如何在不假设噪声系数独立性的情况下分析DFR。在我们的结果中，我们为ML-KEM实现了4%到8%的密文压缩。或者，与当前标准相比，我们获得了8%更短的公钥。我们还提供了解码过程的等时实现，即使在考虑AVX2、Cortex-M4和Cortex-A53的优化实现时，在完整的ML-KEM解封装中性能影响也可忽略不计。

关键词

PQC, ML-KEM, 纠错码, 密文压缩

作者

Thales B. Paiva, Marcos A. Simplicio Jr, Syed Mahbub Hafiz, Bahattin Yildiz, Eduardo L. Cominetti, Henrique S. Ogawa

出版信息

• 期刊: IACR Transactions on Cryptographic Hardware and Embedded Systems
• 卷期: Vol. 2025 No. 3
• 页数: 139-163
• DOI: https://doi.org/10.46586/tches.v2025.i3.139-163
• 发布日期: 2025-06-05

许可证

本作品采用知识共享署名4.0国际许可协议进行许可。