基于模格的密鑰封裝方案的比較分析與優化

王 洋 沈詩羽 趙運磊 王明強

1(山東大學數學學院 濟南 250100) 2(復旦大學計算機科學技術學院 上海 200433) 3(密碼技術與信息安全教育部重點實驗室(山東大學) 濟南 250100)

自從1976年Diffie和Hellman[1]提出利用單向陷門函數構造公鑰密碼算法以來，基于不同困難問題設計的各種各樣的公鑰密碼體制相繼被提出，并在密碼學中有著極其廣泛的應用.目前廣泛使用的基于數論假設困難問題(如因子分解和離散對數問題)設計的公鑰密碼體制可以被Shor算法[2]在量子多項式時間內攻破.隨著20多年來量子計算機技術的快速發展以及抗量子密碼技術的研究，后量子密碼算法的標準化工作也逐漸被提上日程.2016年美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)正式發起了對公鑰加密(public key encryption, PKE)、密鑰封裝(key encapsulation mechanism, KEM)和數字簽名這3類基本公鑰密碼算法相關的抗量子密碼算法標準的征集工作.第1輪69個候選算法中有26個算法入選到第2輪評估[3]，這其中有12個候選算法(如NewHope,FrodoKEM,CRYSTALS-KYBER,SABER,LAC等)是基于格中困難問題設計的.CRYSTALS-KYBER和SABER更是入選為NIST最近公布的第3輪競選算法[4].2019年我國舉行了后量子密碼算法競賽[5-6]，獲獎的算法也大多是基于格中的困難問題設計的，其中密鑰封裝算法包括：Aigis,LAC,AKCN-MLWE,Scloud,Tale等.

設計PKE和KEM時最常用的格中困難問題是(環,模)LWELWR問題[7-10].非正式地講，標準形式(normal form)判定版本的(多項式)模LWE問題[11]是：給定模中均勻選擇的矩陣A，以及某些向量b，判斷b是中的均勻分布還是b=As+emodqR，其中s和e服從Rl上的某分布μ.而模LWR問題為給定模中均勻選擇的矩陣A，以及某些向量b，判斷b是中的均勻分布還是b=As，其中s服從Rl上的某分布μ.本文中我們采用系數嵌入來進行討論.可以證明，對于適當的環R和分布μ，上述問題的困難性可以歸約到一類格中worst-case的基本困難問題(如SIVPγ)上.模LWE問題的s和e服從Rl上的相同分布μ.為了進一步平衡安全性、實現效率以及通信帶寬，文獻[12-13]提出了非對稱的LWE問題，即s和e服從Rl上的不同分布(更確切地說，是服從不同參數的某一類分布).目前，不使用復雜糾錯碼、接近于實用化的基于模LWELWR問題設計的高效KEM方案主要有2類：1)直接基于模LWELWR問題設計(如Kyber[14]，Saber[15]和Aigis[12])；2)基于文獻[16-17]提出的密鑰共識機制結合模LWELWR問題設計(如KCL[18],AKCN-MLWE,AKCN-MLWR和AKCN-Hybrid).上述2類KEM方案的構造方式均為先構造IND-CPA安全的PKE加密方案，然后采用Fujisaki-Okamoto(FO)[19-21]轉換來構造滿足IND-CCA安全的密鑰封裝方案.

共識機制是文獻[16-17]提出的一種新的密碼原語，由(Con,Rec)2個算法組成.非正式地講，當輸入均勻隨機時，對稱密鑰共識機制的Con算法會輸出某些相互獨立的提示信號和隨機的共識值.當Con和Rec算法的輸入比較接近時，在提示信號的幫助下，Rec算法可以恢復出Con算法輸出的共識值.非對稱密鑰共識機制則可以人為地決定共識值(即上述Con算法的共識值作為輸入，輸出的提示信號與輸入的共識值彼此相互獨立).文獻[16-17]給出了一般性共識機制參數應滿足的條件關系式，并設計了無條件安全的參數接近最優的非對稱和對稱的密鑰共識機制.基于這些密鑰共識機制，文獻[16-17]依賴不同的困難問題設計了多種密鑰封裝方案，AKCN-MLWEMLWR和AKCN-Hybrid就是基于非對稱密鑰共識機制和模LWELWR問題設計的一種密鑰封裝機制.

本文的主要貢獻有3個方面：

2) 由于Grove量子搜索算法的存在，為了實現大約256 b的量子安全強度，需考慮會話密鑰長度約為512 b的KEM方案的設計.此外，目前的TLS1.3標準也強制要求提供512 b會話密鑰的握手協商機制[22].因此，提供512 b的會話密鑰也是現實的需求.對應Kyber-1024和Fire-Saber級別的參數,本文詳細對比分析了3種可能的封裝512 b密鑰長度的方法.

3) 根據理論分析和大量實驗測試，給出了AKCN-MLWE、AKCN-MLWR和AKCN-Hybrid的新的優化建議和參數推薦.同時也給出了對于Aigis和Kyber的優化方案(對應命名為AKCN-Aigis和AKCN-Kyber)和新的參數推薦.

1 相關工作

Kyber和Aigis采用的IND-CPA安全的PKE方案主要遵循文獻[23]的設計框架(事實上目前很多基于LWE問題的PKE方案都是遵循這一框架設計的)，而后采用FO轉換來設計滿足特定安全性要求的密鑰封裝方案.文獻[12]觀察到了由于壓縮技術的使用，模LWE問題的秘密s和誤差擾動e對PKE方案最后的解密錯誤率的影響不對等，系統化地提出了非對稱模LWE問題和模SIS問題，并從實際攻擊的角度詳細測試了不同參數條件下底層困難問題對應的安全強度.這使得Aigis可以更好地平衡安全性、實現效率、錯誤率和通信帶寬的關系.Saber是直接基于模LWR問題設計的，采用的設計思路也是先設計IND-CPA安全的PKE方案，隨后采用FO轉換來設計密鑰封裝方案.AKCN-MLWE和AKCN-MLWR的設計采用了文獻[16-17]提出的非對稱的密鑰共識機制.本質上講，Kyber和Aigis采用的傳統LWE形式的PKE方案以及Saber采用的模LWR形式的PKE方案均可以改寫成非對稱的密鑰共識機制的形式(只不過采用的非對稱的密鑰共識算法與AKCN-MLWEMLWR的不同)，反之亦然.同時，我們注意到，結合原始AKCN-MLWE和Aigis的設計，我們可以更加優化參數的選擇.需要說明的是，文獻[23]及其變體密碼體制均是針對加密單比特設計的.文獻[16-17]中首先給出了更一般的加密形式并詳細分析了相關參數所必須遵循的不等式界.

2 預備知識

本節定義一些符號并簡單回顧Kyber,Saber,Aigis和AKCN采用的IND-CPA安全的加密體制的構造.

2.1 基本定義及符號說明

本文使用多項式環的系數嵌入并考慮分圓多項式環RZ[X](Xn+1)，這里n=2k為2的方冪.

在實際應用中，我們一般考慮秘密和誤差服從中心二項分布的模LWELWR問題.對于正整數η，我們定義中心二項分布Sη為：取樣U(({0,1}2)η)，輸出環R上定義的判定版本模LWE問題為區分多項式數目的均勻樣本與樣本(ai,bi)，其中aiSη.判定版本的模LWE假設是說，沒有概率多項式時間的量子敵手可以以不可忽略的優勢解決判定版本的模LWE問題.而環R上定義的模LWR問題為區分多項式數目的均勻樣本與樣本(ai,bi)，其中ai對應地，模LWR假設是說，沒有概率多項式時間的量子敵手可以以不可忽略的優勢解決模LWR問題.

2.2 格密碼體制常用的壓縮函數

為了節省通信帶寬，在實際應用中設計的密碼體制一般會采用一些壓縮技術.目前，在不使用額外糾錯碼的情況下，格密碼體制最常用的壓縮函數[12,14,24]為：

這里我們直接使用2d是為了充分利用存儲空間.容易驗證，對于x∈Zq，我們有:

為了討論方便，我們稱上述壓縮函數為換模壓縮函數.

在滿足一定錯誤率要求的情況下，為了提高運算效率，文獻[16-17]中也考慮了直接砍去低位比特的壓縮函數：

此時，對于x∈Zq，我們容易計算得:

2.3 密鑰共識機制

文獻[16-17]中第1次提出一種稱之為密鑰共識的密碼原語，利用此密碼原語可以基于不同的困難問題設計密鑰封裝和公鑰加密體制.AKCN-MLWE,AKCN-MLWR和AKCN-Hybrid就是采用非對稱的密鑰共識算法基于模LWE問題、模LWR問題和模LWELWR混合問題設計的IND-CPA安全的公鑰加密方案，進而通過現有的通用構造來設計IND-CCA安全的密鑰封裝協議.

定義1.非對稱密鑰共識算法[16-17]AKC=(params,Con,Rec)的定義為：

2)V←Con(Σ2,K2,params).在輸入為Σ2∈Zq,K2∈Zm和params的條件下，概率多項式時間算法Con輸出公開提示信息V∈Zg.

3)K1←Rec(Σ1,V,params).在輸入為Σ1∈Zq,V和params的條件下，確定多項式時間算法Rec輸出K1∈Zm.

成立，這里概率取自Σ2U(Zq)和Con中使用的隨機性.在后續的討論中，為了方便會省略掉params.文獻[16-17]證明了滿足正確性和安全性的非對稱密鑰共識算法的參數params應滿足的條件.

2.4 AKCN-MLWEMLWR加密算法

文獻[16-17]基于非對稱的密鑰共識算法設計了IND-CPA安全的公鑰加密體制AKCN-MLWE和AKCN-MLWR.具體構造分別如圖1和圖2所示(圖2為參數為2的方冪情況下的簡化版本).其中AKC=(Con,Rec)可以是任意滿足正確性和安全性的非對稱密鑰共識算法，Gen為某特定的輸出偽隨機的擴展函數.

Fig. 1 IND-CPA secure encryption schemes used by AKCN-MLWE圖1 AKCN-MLWE采用的IND-CPA安全的加密體制的構造

Fig. 2 IND-CPA secure encryption schemes used by AKCN-MLWR圖2 AKCN-MLWR采用的IND-CPA安全的加密體制的構造

(1)

2.5 LWELWR加密算法

Fig. 4 IND-CPA secure encryption schemes used by Saber圖4 Saber采用的IND-CPA安全的加密體制的構造

Saber選擇的參數與AKCN-MLWR一樣均為2的方冪.注意到對于這種參數選擇，對任意的x∈Zq，我們有:

需要特別說明的是，基于非對稱密鑰共識機制的AKCN-MLWEMLWR的算法描述是對于一般性m的.而在Kyber和Saber方案的實際描述是針對特定m=2這種情況.實際上，針對多比特m>2的密鑰共識機制和密鑰封裝機制最早在文獻[16-17]中被明確提出，并詳細給出了參數(q,m,g,d)之間必須遵循的不等式界.

3 共識機制形式下加密體制對比分析

3.1 LWE加密體制轉換為共識機制加密體制

(2)

這里我們采用明文內嵌入.當g|q時，LWE形式的加密算法轉換的非對稱密鑰共識算法與AKCN-MLWE采用的完全一致.但是對于一般的g和q，二者并不相同.使用類似文獻[16-17]中的證明方法，我們可以得到如下引理.

帶入K1的表達式計算可得:

根據假設，存在θ′∈Z和δ∈[-d,d]使得Σ2=Σ1+θ′q+δ.所以，我們可以推出:

要滿足正確性，則只需滿足關系式:

證畢.

當統一成共識形式的加密體制時，可以看出AKCN-MLWE采用的共識算法要比Kyber等采用的LWE加密形式轉換而來的共識算法要好一些.但是二者非常的接近.注意到圖1中基于共識算法設計的加密體制的誤差的取值均為整數，所以盡管從數學上看，AKCN-MLWE采用的非對稱密鑰共識機制要優于Kyber等采用的LWE加密形式轉換而來的非對稱密鑰共識機制，但是對于某些參數來說，根據參數滿足的關系式計算而來的d的上界的差別可能在1以內.這就使得這2種形式最后計算的錯誤率可能相同.

3.2 LWR加密體制轉換為共識機制加密體制

(3)

由于現在參數都是2的方冪，我們可以使用更簡單的方法推出引理2.

證明. 根據定義和參數選擇，我們有:

其中,εV∈[0,2εp-εg-1]∩Z.所以，我們可以推出:

(4)

時，有K1=K2.這等價于

證畢.

需要指出的是，文獻[16-17]在推導AKCN-MLWR對應參數條件下共識機制式(1)所滿足的界時采用了一些近似(采用的推導方法與一般參數的推導方法類似).當使用類似引理2的證明方法來推導共識機制式(1)所滿足的正確性條件時，可以得到當Σ1-Σ2的系數均落在區間

時，K1=K2成立.對比式(4)可知，當統一成共識機制形式的加密體制時，AKCN-MLWR與Saber采用的共識機制參數所滿足的正確性條件相差很小.

4 基于MLWE的KEM錯誤率比較分析

本節系統比較分析基于MLWE的密鑰封裝機制在不同壓縮函數和加解密方式下的錯誤率差異.3.2節提到AKCN-MLWEMLWR如果直接利用AKCN的正確性條件分析得到錯誤率會比其實際的錯誤率略高，為了更精確地分析AKCN-MLWEMLWR的具體錯誤率，我們將其轉換為傳統LWELWR加密體制的形式然后進行錯誤率分析.事實上，這就是將AKCN采用的非對稱密鑰共識算法(Con,Rec)簡單展開的過程.

所以與Kyber以及Aigis等使用的傳統的LWE形式的加密體制相比，AKCN-MLWE非對稱密鑰共識機制轉換的LWE形式加密體制的解密算法相當于未對第2個密文V完全解封裝，節省了1步四舍五入運算.特別地，實際測試表明，多加1步四舍五入運算不僅增加了計算量，也相當于增加了額外的誤差，從而會造成錯誤率偏高.

則圖3所示LWE形式加密體制的解密計算中，有:

其中，

Err=(E1-ε1)TX2-X1T(E2-ε2)+Eσ-εv

(5)

(6)

(7)

與式(6)相比，對于絕大部分參數(特別是m比較大時)，明文內嵌入的方式帶來的錯誤率會更小.但是當m比較小時，這2種嵌入方式對應的錯誤率大小需要視具體參數的選擇而定.

對于AKCN-MLWE對應的情況，我們采用上述符號并記:

則計算可得:

此時，采用明文外嵌入和明文內嵌入2種方式對應的錯誤率同樣可以結合關系式(6)(7)通過程序計算給出.

采用Kyber提交的在NIST前2輪競選中提交的推薦參數，我們測試的錯誤率結果如表1所示:

Table 1 Error Rates of Kyber Recommended Parameters表1 Kyber推薦參數的錯誤率

針對表1的測試數據，我們給出4方面的討論.

Σ2-Σ1=(E1-ε1)TX2-X1T(E2-ε2)+Eσ.

(8)

4) 對于固定的一組參數，當采用相同的壓縮函數時，AKCN-MLWE使用的非對稱密鑰共識算法轉換而來的LWE加密形式的密碼體制的錯誤率更低(如對比δ1和δ4，或δ2和δ5).這說明正如本節一開始指出的，對第2個密文V不進行完全解封裝不僅能節省1步四舍五入運算，還可以降低錯誤率.這也從一個側面表明了確實如3.1節分析，AKCN-MLWE采用的非對稱密鑰共識機制更優(注意到我們并沒有對Y1和Y2也進行類似的操作.這是因為我們需要利用Y1和Y2使用NTT算法來進行乘法運算.因此，需要將Y1和Y2解壓縮為環Rl中的元素).

5 基于MLWR的KEM錯誤率比較分析

本節對AKCN-MLWR與Saber的錯誤率進行對比分析.此時，我們假設參數q=2εq，p=2εp，g=2εg和m=2εm滿足條件εm≤εg<εp<εq.對比圖2和圖4可知，AKCN-LWR采用共識機制轉換的加密和解密分別對應為

我們有:

其中,εV∈[0,2εp-εg-1]∩Z.因而，我們可以推出:

所以，正確解密條件為

(9)

6 基于模LWELWR混合模式的KEM錯誤率分析

我們稱文獻[17]中使用非對稱密鑰共識機制同時結合模LWE和模LWR問題來設計CPA安全的加密體制的方法為AKCN-Hybrid，其具體構造如圖5所示，其中的參數以及(Con,Rec)算法與第5節類似.

Fig. 5 IND-CPA secure encryption schemes based on Module LWELWR圖5 同時基于模LWELWR問題設計的IND-CPA安全的加密體制的構造

此時，我們有:

記

則有

所以，當

時，可以正確解密.我們采用前面各節的符號，容易計算得到:

至此，我們可以利用類似第5節中AKCN-MLWR的假設或RLizard[25]的假設和處理方法使用程序來計算AKCN-Hybrid的錯誤率.

7 封裝512 b的EKM方案對比分析

由于量子搜索算法(Grove算法)的存在，理論上來講2λ比特長的密鑰最多只能提供λ比特的安全強度.從這個角度來看，為了實現大約256 b的量子安全強度，我們需考慮會話密鑰長度約512 b的KEM方案的設計.這對應著Kyber-1024和Fire-Saber這2組參數.此外，目前的TLS1.3標準也強制要求提供512 b會話密鑰的握手協商機制[22]，因此提供512 b的會話密鑰也是現實的需求.

根據前面的分析并為了簡化討論，在本文后續部分討論錯誤率時，我們僅使用換模壓縮函數和基于AKCN共識機制的加解密函數(這是由于我們在本節中需要明確地考慮加密多比特的情況)但采用將AKCN共識機制展開成LWE加密形式進行更為精確的錯誤率分析.LWR形式對應的分析是類似的.首先，如Aigis觀察到的，由于壓縮函數的使用，LWE誤差Ei和秘密Xi對于最后解密誤差Err的影響不對等.特別地，當固定q，dk，dt和g時，改變ηk對Err帶來的影響要比改變ηe帶來的影響大得多.此外，互換dk和dt的值對最后的解密誤差幾乎無影響.這是因為對于一般的參數，誤差(E1-ε1)TX2-X1T(E2-ε2)服從的分布與誤差-(E1-ε1)TX2+X1T(E2-ε2)服從的分布幾乎相同.當公鑰和第一個密文的壓縮尺寸不同時，我們一般采取公鑰壓縮的比特數目較少(即公鑰壓縮后的規模大)，第1個密文壓縮的比特數目較多來與Kyber NIST Round 2的設計保持相近.

為了達到封裝512 b會話密鑰且不低于200 b后量子安全的目的，基于MLWE問題，我們主要有3種實現方法:1)采用Kyber NIST 第2輪1024參數進行2次封裝，即n=256，l=4，m=2封裝2次；2)采用類似的參數，考慮m=4封裝1次；3)擴大環的擴張次數，即設置n=512，l=2，m=2封裝1次.

我們首先來比較前2種方法，使用方法1的設置來共享512 b會話密鑰相當于要用同一個公鑰來進行2次封裝，此時錯誤率至多為原來2倍，總通信帶寬為

n+nldk+2(nldc+nlbg).

使用方法2的設置來共享512 b會話密鑰只需封裝1次，但是我們要考慮錯誤率.共識加密形式下參數應滿足的關系式(如引理1)為我們計算錯誤率提供了啟發式的參考.在誤差分布變化不大的情況下，當m增加1倍時，我們只需要把q和g均增加1倍即可保證錯誤率變化不大.理想情況下，采用方法2的設置的總通信帶寬約為n+nl(dk+1)+nl(dc+1)+n(lbg+1).所以，前2種方法的總通信帶寬的差為

Δ=nl(dc-2)+n(lbg-1).

由于實用中，dc和g均不會太小，所以方法1的總通信帶寬一定比方法2大.在實用中我們一般選擇q為滿足NTT計算條件的素數，且當q增大1倍左右，g,dk和dc增加1 b時，誤差項中的εv，ε1和ε2均會發生變化，改變的大小與q有關，所以實際應用中不像理想情況分析的那樣.但是我們仍可以按照上述分析來大致確定參數再通過具體程序測試來微調確定哪一組參數較優.

我們對比測試NIST第2輪的Kyber-1024這一組參數，結果如表2所示:

Table 2 Multi-bits Comparisons of Kyber Round 2表2 Kyber第2輪參數多比特測試比較

表2的符號與表1一致，不同的是，|K|,|pk|,|ct|和B分別表示共享密鑰長度、Alice和Bob各自傳輸信息的帶寬以及總通信帶寬，單位為B；sec表示對應參數的密碼體制的量子安全強度.

綜上所述，對于絕大多數的參數設置而言，方法3采用的設置可以更好地平衡錯誤率、安全強度與通信帶寬.但對應的缺點是：在具體實現時需要修改一些算法，在算法兼容性和適配性上不如方法2.

8 優化的KEM方案和參數推薦

根據本文針對基于模格的KEM方案系統性的比較分析，在本節中我們給出基于模格KEM的方案優化，并通過大量的測試給出新的參數推薦.

針對基于MLWE的KEM方案，在相同的參數選擇下，本文的比較分析得出如下結論：同時采用基于AKCN-MLWE共識機制的加解密過程和換模壓縮函數是更優的組合.首先，基于AKCN-MLWE共識機制的加解密過程更為簡單高效，同時本文的具體錯誤率分析方法(即錯誤率不采用AKCN-MLWE原始共識機制的正確性條件進行粗略計算，而是進行更為精確的具體分析)也表明基于AKCN-MLWE共識機制的加解密算法具有更低的錯誤率.其次，雖然換模壓縮函數相對于砍比特壓縮函數要復雜，但是對應的會帶來更低的錯誤率，同時也可以更好地與Kyber和Aigis進行兼容.

相對于原始的AKCN-MLWE，本節優化的AKCN-MLWE方案僅更換了其壓縮函數；相對于Kyber和Aigis，本節優化的AKCN-MLWE可以視作僅對其解密算法做了優化(更簡單且錯誤率更低)，而密鑰生成和加密算法仍然和原始的Kyber和Aigis方案保持一樣.這樣，優化后的AKCN-MLWE方案可以取得與Kyber和Aigis方案最大程度的兼容和適配.在后文的描述中，AKCN-MLWE方案默認是這種優化的方案.另外，和Kyber的NIST第2輪提案一樣，從保證可證明安全性的角度，我們也默認AKCN-MLWE不對公鑰的Y1進行壓縮.但是Aigis采用的是類似Kyber在NIST第1輪中采用的2輪壓縮的構造方式，所以表5中為保持一致，AKCN-Aigis同樣也采用2輪壓縮的構造方式.

為了表述方便，后文我們記AKCN-Kyber為將NIST第2輪的Kyber加密方案的解密過程換成AKCN-MLWE共識形式轉換的解密形式；同樣地，AKCN-Aigis表示將Aigis加密方案的解密過程換成AKCN-MLWE共識形式轉換的解密形式.

AKCN-MLWE與AKCN-MLWR的新參數推薦如表3和表4所示，采用的符號與表1和表2相同.對于AKCN-MLWE-1024這組參數，目標是封裝512 b的密鑰，我們分別給出了2種方式下的具體參數：AKCN-MLWE-1024-1是n=256和m=4，從而具有更好的兼容和適配性；AKCN-MLWE-1024-2采用n=512和m=2，具有更優良的帶寬性能.

Table 3 New Parameters of AKCN-MLWE表3 AKCN-MLWE 新參數

Table 4 New Parameters of AKCN-MLWR表4 AKCN-MLWR 新參數

Continued (Table 4)

在表4～7中，δ表示錯誤率.由于我們想要使用相同的參數q，當q=212時很難像AKCN-MLWE-1024-1一樣同時兼顧安全性與錯誤率，因此AKCN-MLWR-1024-1仍然是封裝256 b的密鑰.注意到，由3.2節和第5節的分析，AKCN-MLWR的新參數也可以看作是對Saber NIST Round 2的3組參數的優化推薦.

我們給出的AKCN-Aigis的新參數推薦如表5所示.表5中采用的符號同樣與表1和表2相同.為了便于比較，我們也將Aigis的參數列出來.其中，Aigis-512,Aigis-768和Aigis-1024分別對應文獻[12]中加密體制推薦參數Params I,Params II和Params III.與Aigis推薦的參數相比，AKCN-AIGIS采用了統一的q=7 681(Aigis-1024采用的是12 289)和統一的中心二項分布參數(ηk,ηe)=(1,4)，這更有利于算法的模塊化部署實現和增強算法的適配性.

由于Aigis-768推薦參數很好地綜合了安全性和錯誤率，所以我們推薦的AKCN-Aigis-768的參數與Aigis-768相同.不同之處在于，AKCN-Aigis采用的解密算法相比于Aigis的更簡單，同時在相同的參數下AKCN-Aigis的解密錯誤率也更低.值得指出的是，推薦參數AKCN-Aigis-1024-2可以與Aigis-1024在相近的安全強度下(208對比213)，能夠以更低的錯誤率(2-216.2對比2-211.8)和更小的通信帶寬(2 816 B對比3 008 B，節省了192 B，約6.3%的通信帶寬)封裝相同長度的密鑰(512 b).

Table 5 New Parameters of AKCN-Aigis表5 AKCN-Aigis 新參數

我們在表6中給出AKCN-Kyber的新參數推薦.本節開頭所述，AKCN-Kyber算法僅優化了Kyber的解密算法，使得解密算法更高效且錯誤率更低.為了和Kyber兼容，AKCN-Kyber-512768采用了Kyber-512768相同的參數，區別是錯誤率更低一些且解密算法更高效.AKCN-Kyber-1024是封裝512 b的共享密鑰，而Kyber-1024封裝的是256 b的密鑰.

最后，我們在表7中給出AKCN-Hybrid的新參數對比與推薦.其中，sec表示AKCN-Hybrid構造中依賴模LWE和模LWR問題設計的組件(長期私鑰與臨時私鑰)對應的安全強度.

Table 6 New Parameters of AKCN-Kyber表6 AKCN-Kyber新參數

Table 7 New Parameters of AKCN-Hybrid表7 AKCN-Hybrid新參數

9 總 結