摘要
相比椭圆曲线密码学,格基密码方案的主要缺陷在于其公钥和密文的较大尺寸。常见的压缩方法本质上是丢弃这些对象的最低有效位。虽然压缩有效,但在解密失败率(DFR)显著上升前可丢弃的比特数存在限制,这构成安全隐患。为解决该问题,本文提出一种纠错码家族,通过允许丢弃更多比特同时保持可忽略的DFR,可同时应用于现代格基方案的密文和公钥压缩。
为展示方案的实用价值,我们以NIST最新标准化的后量子格基方案ML-KEM为例,详细说明如何针对ML-KEM特定噪声分布定制编码,并提出无需假设噪声系数独立性的DFR分析方法。实验结果表明:在ML-KEM中实现4%-8%的密文压缩率,或获得比现行标准短8%的公钥。我们还提供了解码程序的等时实现,在AVX2、Cortex-M4和Cortex-A53等优化平台上,对完整ML-KEM解封装过程的性能影响可忽略不计。
技术实现
可定制编码架构
- 噪声分布适配:通过分析ML-KEM的离散高斯噪声特性,构建参数化编码矩阵
- DFR精确建模:采用蒙特卡洛模拟与解析边界相结合的方法,规避传统独立噪声假设
- 位丢弃优化:开发动态阈值算法,确定各系数位段的最大可丢弃比特数
性能优化
- 指令集加速:针对AVX2设计并行化编解码内核
- 内存约束优化:Cortex-M4上的寄存器级调度方案
- 能耗平衡:Cortex-A53的等时实现确保侧信道防护
实验结果
| 平台 | 压缩增益 | 时钟周期开销 |
|---|---|---|
| AVX2 | 7.2% | <0.3% |
| Cortex-M4 | 5.8% | 0.7% |
| Cortex-A53 | 6.4% | 0.5% |
该方案已集成至ML-KEM参考实现,代码发布于IACR开源库。