文章总结： 本文解读结构化模格密码学论文，分析了ML-KEM标准的僵化问题。论文提出RR-LWE和BRM-LWE方案，利用根式扩张与混合结构，兼顾了Ring-LWE的高效性与Module-LWE的灵活性，实现了无需妥协的精细化参数配置与性能优化。 综合评分： 85 文章分类： 技术标准,网络安全

【密码学】Structured Module Lattice-based Cryptography 解读

原创

Litt1eQ Litt1eQ

Coder小Q

2026年1月26日 08:31 山东

【密码学】Structured Module Lattice-based Cryptography 解读

Bob：Alice，我这周末在装机，遇到个特别纠结的问题。

Alice：遇到了什么问题呢？

Bob：你听我说。我买了个ITX小机箱，想装一体式水冷。但市面上的水冷只有120mm、240mm、360mm这几个规格。我的机箱顶部能装240mm，但会挡住内存；前面板只能装120mm，散热又不够。理想的尺寸应该是180mm左右，但根本没这个规格(实际上有，为了这篇文章，暂时忽略一下)。

Eve：这就是模组化设计的代价。厂商为了标准化生产，只做几个固定尺寸。你要么妥协性能，要么妥协兼容性。

Bob：最后我只能去找定制水冷，找人按180mm的尺寸手工做了一套。虽然完美适配，但价格是一体式的三倍，还得担心兼容性问题。

Alice：有意思，你这个问题和后量子密码学现在面临的困境几乎一模一样。

Bob：水冷模组和密码学有什么关系？

Alice：你想想，水冷厂商为什么只做120/240/360这几个规格？因为风扇是120mm标准，1个、2个、3个风扇正好对应这些尺寸。这样可以复用零件、降低成本、方便NTT——哦不，是方便安装。

Bob：NTT是什么？

Alice：数论变换，Number Theoretic Transform，一种快速计算技巧。密码学里也有类似的情况：现在的格密码标准只支持256、512、1024这样的”规格”，因为这些是2的幂次，可以用NTT加速。就像水冷必须是120的倍数一样。

Eve：所以问题就来了——如果你需要的安全级别恰好在两个”规格”之间，该怎么办？买小的不够安全，买大的浪费性能。

Bob：就像我的180mm困境。那密码学家怎么解决的？

Alice：这就是我们今天要看的论文 — Structured Module Lattice-based Cryptography[1]。这篇的方案就像是发明了一种可变长度的水冷模组，既能适配任意尺寸，还不牺牲散热效率。

Bob：等等，先给我科普一下背景。现在不是已经有ML-KEM这些标准了吗？

Alice：对，NIST在2024年发布了首批后量子密码标准，包括ML-KEM（基于CRYSTALS-Kyber）。但问题来了：这些方案基于Module-LWE，使用的环是，其中必须是2的幂次(且)。

Bob：为什么必须是2的幂次？

Alice：因为要用数论变换（NTT）加速计算。NTT就像是格密码学的”涡轮增压器”，但它要求这样的值。安全性随着增长，但跳跃太大了。

Eve：我来翻译一下：假设128位安全需要（是模秩），192位安全要跳到。你看，不能变，只能调。

Bob：这就像我的水冷困境——只能买120mm或240mm，没有180mm这种中间规格。

Alice：没错，而且问题更糟。Module-LWE的矩阵是的，每个元素都是度数为的多项式。这意味着你需要生成个随机数。

Bob：？这是二次增长。

Alice：是的。从到，随机数从个跳到个，翻了一倍多。生成这些随机数要用SHAKE128，在很多平台上这是性能瓶颈。

Eve：更致命的是：ML-KEM-512的安全性大约是117比特（经典计算）。如果你想稳妥地达到128比特，就得跳到ML-KEM-768，但那给你181比特——远超需求。这种”过度配置”不仅浪费计算资源，还增加了密钥和密文的尺寸。

Bob：那为什么不用Ring-LWE呢？我记得它更高效。

Alice：Ring-LWE确实高效。它只需要一个大环，矩阵是循环矩阵，只需个随机数，不是个。这就像是用一根完整的长水冷排，不用多个短排拼接。

Bob：听起来很完美，那还折腾什么Module-LWE？

Alice：问题来了：也必须是2的幂次。如果你想要（对应某个特定安全级别），Ring-LWE做不到——640不是2的幂次。你只能选512或1024。

Eve：所以Module-LWE和Ring-LWE各有缺陷：

• Module-LWE：灵活但慢（复杂度）
• Ring-LWE：快但僵硬（必须是2的幂次）

Bob：就像是在”定制水冷”和”一体式水冷”之间选择，定制的贵且复杂，一体式的便宜但规格死板。

Alice：很好的类比。而这篇论文的突破就在于：他们找到了介于两者之间的最佳方案。

Alice：让我介绍第一个方案：Radical Ring-LWE，简称RR-LWE。核心思想是换一个多项式。

Bob：换哪个？

Alice：不再用，而是用：

其中是2的幂次，但可以是任意正整数。

Bob：为什么选这么奇怪的多项式？直觉上这应该更复杂吧。

Alice：恰恰相反，这是个天才的选择。关键在于它满足一个美妙的环同构：

右边的意思是：你先有标准的分圆环（这是我们熟悉的，可以用NTT），然后在它上面”搭”一个次扩张，扩张规则是。

Eve：明白了。底层还是标准环，所以NTT这些工具照常用；但通过扩张次，总维度变成了，而且可以任意选。

Alice：正是如此。论文把这叫根式扩张（radical extension），因为本质上是在求次根：。

Bob：等等，这个多项式会不会像那样分解成更小的因子？如果能分解，安全性就有问题了。

Alice：这是个好问题。论文的Lemma 1用Vahlen-Capelli准则严格证明了：只要是2的幂次，这个多项式在有理数域上不可约——它像一块完整的钻石，切不碎。

Bob：那这个环怎么做密码学？矩阵长什么样？

Alice：这就是最巧妙的地方。两个元素的乘法，写成和，对应的矩阵是：

Bob：这看起来像Module-LWE的矩阵，但有结构。

Alice：对，它是循环矩阵，只需要个多项式就能构造整个矩阵。对比Module-LWE需要个独立多项式。

Eve：等等，乘以是怎么回事？

Alice：这来自模约简。在环中，乘以就是反循环移位，乘以就是反循环移位再加2倍原值。这些操作都很便宜。

Bob：所以随机数从个降到了个？

Alice：没错。论文的Example 1给出了具体数字：对于（对标ML-KEM-768），RR-LWE只需约1418字节的随机性，而ML-KEM-768需要4253字节——减少了3倍。

Alice：RR-LWE很强，但有些人可能担心新环的安全性分析不够成熟。所以论文还提出了BRM-LWE（Block-Ring Module-LWE），它是Module-LWE的特殊子类。

Bob：怎么个特殊法？

Alice：写，其中是2的幂次。BRM-LWE的矩阵是这样的：

环结构的块随机随机随机

左上角子矩阵有环结构（循环矩阵），其余部分是普通的Module-LWE。

Bob：所以它是Module-LWE和Ring-LWE的混血儿？

Alice：对。举个例子，对应ML-KEM需要25个多项式的矩阵，但BRM-LWE只需要个：

Eve：安全性呢？我能不能针对这个部分环结构攻击？

Alice：论文的Assumption 1指出：BRM-LWE的安全性归约到Ring-LWE（通过嵌入块）和Module-LWE（通过嵌入块）。由于现有的格攻击算法都不利用环结构，BRM-LWE和普通Module-LWE同样困难。

Bob：那为什么还要RR-LWE？BRM-LWE不是更保守吗？

Alice：是的，BRM-LWE更保守，但RR-LWE更高效。RR-LWE是完全的环结构，所有个元素都参与循环；BRM-LWE只有部分环结构。性能上RR-LWE更优，但如果你特别在意安全性的保守估计，BRM-LWE是个折中方案。

Bob：最后，这篇论文的核心贡献是什么？

Alice：用一句话总结：他们把格密码学从”标准件组装”变成了”乐高搭建”。

• Module-LWE：像多个独立风扇拼装，灵活但复杂
• Ring-LWE：像一体式水冷，简洁但规格固定
• RR-LWE/BRM-LWE：像模块化水冷系统，既能自由调节长度，又能复用标准接口

从2026年的视角看，后量子密码学还在快速演进。这篇论文展示了一个重要方向：我们不必在灵活性和性能之间二选一，精巧的数学结构可以让我们两者兼得。

Eve：而且这个思路可能启发更多变体。比如能不能用其他根式扩张？能不能扩展到更一般的数域？密码学的游戏还没有结束。

Bob：量子计算机来了，密码学家拿出了格；格太僵硬了，数学家拿出了根式扩张。这场对抗永不停息，但每一步都让我们的数字世界更安全。

Alice：说得好。这就是密码学的浪漫——在数学的殿堂里，为人类的隐私和安全锻造盾牌。

本次对话，就这么愉快的结束了，接下来，Alice，Bob，和Eve又会遇到什么故事呢，且听下回分解。快乐的时光过得特别快，又到了说再见的时候了，咱们下次再见~

参考文献

• [1] Joppe W. Bos, Joost Renes, Frederik Vercauteren and Peng Wang. “Structured Module Lattice-based Cryptography: Fine-Grained Parameter Selection without Compromising Performance”. IACR Cryptology ePrint Archive, Report 2026/098, 2026.https://eprint.iacr.org/2026/098.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Coder小Q Litt1eQ Litt1eQ《【密码学】Structured Module Lattice-based Cryptography 解读》