Crystals Kyber密码算法解读（一）

传统的公钥密码PKE
$(Gen,Enc,Dec)$
其中$Gen$生成的密钥对为$(pk,sk)$
发送方用公钥进行加密$C\leftarrow En{c}_{pk}(m)$
接收方用自己的私钥进行解密$m:=De{c}_{sk}(c)$

公钥密码的缺点：计算速度慢，效率比对称算法低太多了公钥密码效率低的原因？

首先这里讨论有关效率的指标有这些：CPU、network bandwidth也就是网络带宽、functionalites功能性
“moral”的原因是因为，首先，如何做到pk不泄露sk的信息，这已经是需要很强数学能力的事情了（attacker不能通过公钥去破解出私钥）
相比对称密码只是简单的打乱比特来说，公钥密码的方法更复杂的多
而且，一些已知的非对称加密系统看起来实现了我们需要的安全，但实际上需要巨大的计算开销。注意到McEliece cryptosystem 和 NTRUEncrypt都实现了高速下的非对称加解密方案（比RSA,椭圆曲线下的El Gamal快多了）。
并没有证据表明非对称加密在计算方面比对称加密更难。
带宽是非对称加密算法中另一个效率指标。这绝对是限制加密算法效率的因素之一。公钥密码算法是公开的，意味着任何人包括攻击者都能使用公钥去加密任意的消息。这意味着如果加密算法是确定的，那么攻击者就可以通过穷举得到匹配的密文。因此一个非对称加密算法还需要包含额外的随机性。
这样的额外的随机性就使得加密数据的大小增加。
例如，RSA使用1024位密钥，最多只能加密117字节的数据元素，从而产生128字节的密文。因此，如果你只用RSA加密一个大文件，那么最终加密的明文会比密文多出%9的信息。对于10GB的消息来说，这就是900M的冗余信息。除此之外，对称加密只会产生固定的开销。在大多数场景下，网络带宽都是比CPU要更稀缺的资源
因此出现了密钥协商的方案。这跟公钥密码非常像。

回归正题

crystal kyber其实就是这样一个用非对称加密的思想去封装密钥并进行密钥协商的算法。主要聚焦的也是在KEM（key encapsulation mechanism）

如何生成pk和sk，并且pk不会暴露sk的信息？

这里就用到了LWE(learning with errors)问题。LWE是格上的一类困难问题。Crystal kyber算法用到了环上的LWE问题(Ring-LWE)。

什么是LWE问题？

• 已知一种情况：$\mathbf{s}\in {\mathbb{Z}}_q^n$（其中${\mathbb{Z}}_q^n$相当于一个n维向量，每一维都是$\mathbb{Z}modq$，也就是$\left\{0,1,2,...,q-1\right\}$），$\mathbf{a}\in {\mathbb{Z}}_q^n$,$b\in {\mathbb{Z}}_q$，则$(\mathbf{a},b)\in {\mathbb{Z}}_q^n\times$${\mathbb{Z}}_q$。那么我们可以想象一个黑盒，黑盒内部的运算规则为，输入$\mathbf{a}$,经过$<\mathbf{s},\mathbf{a}>$的点乘运算后，得到$b$。在外界看来，不知道$b$是怎么获得的，只知道$\mathbf{a}$和$b$，在这种情况下，求出$\mathbf{s}$是容易的。
• 另一种情况：黑盒中的点乘运算加入了误差项$e$，也就是$b=<\mathbf{s},\mathbf{a}>+e$，这个$e$可以是任意的噪声，这个时候，外部再要通过$\mathbf{a}$和$b$求出$\mathbf{s}$就非常困难了。

环LWE还没讲所以先空在这下次补充

上面我们知道了环LWE问题求解$s$是困难的，因此可以利用这个困难问题去生成$(pk,sk)$密钥对。
主要流程如下。

下面我们依次解读其中用到的算法。

${\mathcal{B}}^{32}$表示长度为32的8位无符号整数字节矩阵，通过调用randombytes函数得到。
https://github.com/dsprenkels/randombytes

• $G$函数用SHA3-512实例化
  

• $Parse$函数

Input:字节流B
Output:多项式环
	i:=0
	j:=0
	while j<n do
		d1:=bi+256*(bi+1 mod+ 16)
		d2:=round(bi+1/16)+16*bi+2
		if d1<q then
			ajhead:=d1
			j:j+1
		end if
		if d2<q and j<n then
			ajhead:=d2
			j:=j+1
		end if
		i:=i+3
	end while
	return a0head+a1headX+...+an-1headXn-1

注：这里有个疑问，怎么实现$\mathrm{m}\mathrm{o}\mathrm{d}{}^{+}$ ？
$Parse$函数的输入是$\mathrm{X}\mathrm{O}\mathrm{F}(\rho ,j,i)$，$\mathrm{X}\mathrm{O}\mathrm{F}$刚刚有提到是SHAKE-128

• $CBD$函数(“center binomial distribution”)