19、后量子密钥交换协议BIKE：拒绝采样的抉择

后量子密钥交换协议BIKE：拒绝采样的抉择

在当今的加密领域，后量子密钥交换协议（KEM）的研究至关重要，BIKE作为其中的代表，其采样算法的设计和优化一直是关注的焦点。本文将深入探讨BIKE中采样算法的相关问题，包括拒绝采样方法的不足、不同应对策略的分析，以及最新版本的改进和存在的问题。

1. 基本概念与符号

• 有限域与多项式环 ：设$F_2$是特征为2的有限域，$R$是多项式环$F_2[X]/ \langle X^r - 1\rangle$，其中多项式可看作二进制向量。元素$v \in R$的汉明重量记为$wt(v)$，协议失败用$\perp$表示。
• 固定权重采样 ：设$len$和$wt$为正整数，且$len > wt$，$S_{len,wt}$表示${0, 1, \ldots, len - 1}$中基数为$wt$的子集的集合。若$D$是$S_{len,wt}$上的概率分布，从$S_{len,wt}$中按分布$D$采样元素的算法称为固定权重采样算法。$\stackrel{D}{\leftarrow}S_{len,wt}(m)$表示从种子$m$开始的伪随机固定权重采样，$\stackrel{\$}{\leftarrow}S_{len,wt}$表示$D$为均匀分布的特殊情况。
• KEM BIKE ：KEM BIKE [7, v4.2]由参数$r$、$t$、$w$、$d$（$d = w/2$）定义。函数$K$和$L$被建模为随机预言机，Decode函数以综合征$s \in R$和奇偶多项式$(h_0, h_1) \in (S_