为什么“经典McEliece”不需要加扰？

Question

原McEliece方案使用两个随机矩阵S和P对生成矩阵进行置乱，并使用\mathsf S·\mathsf G·\mathsf P作为公钥。Niederreiter变体也做同样的事情。

然而，在经典McEliece提案(基于Niederreiter，尽管其名称)，他们没有这样做。他们给出了Niederreiter的另外两个修改(msg是错误而不是代码字，以系统的形式传输生成器矩阵)为什么不降低安全性，但没有详细说明为什么可以删除这种扰码。为什么他们可以？(他们能吗？)

参考文献：

• 1978年年原版McEliece纸
• Niederreiter (小心，非常大的PDF)
• 经典麦克利希

Answer 1

在我看来，答案很可能如下。我只看了一眼，所以买家要小心：

因此，代替恢复的置换错误向量\sigma(e) ( e是明文，在Niederreiter和经典McEliece中)需要被对手加扰才能得到未置换的错误向量e，而是通过散列恢复错误向量e'并与明文中包含的哈希值h(e)进行比较来检查正确错误向量(对于私钥持有者)的恢复。

对手的额外工作因子是现在需要的工作，以找到一个正确的长度(这可能是或可能不是正确的e)散列预图像。

在项目网站上看到Tanja的talk 这里。