Recently, Kim et al. proposed a modified Dual-Ouroboros public-key encryption ( $${\textsf{PKE}}$$ PKE ) using Gabidulin codes to overcome the limitation of having decryption failure in the original Dual-Ouroboros using low rank parity check codes. This modified Dual-Ouroboros $${\textsf{PKE}}$$ PKE using Gabidulin codes is proved to be IND – CPA secure, with very compact public key size of 738 bytes achieving 128-bit security level. However, they did not specify on their choice of the secret key S used in their $${\textsf{PKE}}$$ PKE . In this paper, we analyze different possible choices for S in the modified Dual-Ouroboros $${\textsf{PKE}}$$ PKE using Gabidulin codes. More specifically, we show that if S is invertible over $${\mathbb{F}}_{q^m}$$ F q m without any restriction, then the decryption algorithm will fail. Furthermore, we show that Kim et al.’s proposal of the modified Dual-Ouroboros $${\textsf{PKE}}$$ PKE using Gabidulin codes has secret key S over $${\mathbb{F}}_q$$ F q for its decryption algorithm to be correct. Then, we proposed two attacks: key recovery attack and plaintext recovery attack on their $${\textsf{PKE}}$$ PKE with S over $${\mathbb{F}}_q$$ F q . We are able to recover the secret key for all the proposed parameters within 235 seconds. Moreover, we show that the public key matrix in their proposal generates a subcode of Gabidulin code. As a consequence, we can apply the Frobenius weak attack on their proposal and recover the plaintext for all the proposed paramters within 0.614 second. Finally, we give a proposal for the modified Dual-Ouroboros $${\textsf{PKE}}$$ PKE using Gabidulin codes such that it is correct and secure, by considering certain restrictions on S over $${\mathbb{F}}_{q^m}$$ F q m .

中文翻译：

---

使用 Gabidulin 编码改进的 Dual-ouroboros PKE 的安全性

最近，金等人。提出了一种使用 Gabidulin 代码的改进的 Dual-Ouroboros 公钥加密（ $${\textsf{PKE}}$$ PKE ），以克服使用低秩奇偶校验码的原始 Dual-Ouroboros 解密失败的限制。这种使用 Gabidulin 代码的经过修改的 Dual-Ouroboros $${\textsf{PKE}}$$ PKE 被证明是 IND – CPA 安全的，具有 738 字节的非常紧凑的公钥大小，实现了 128 位的安全级别。但是，他们没有指定在他们的 $${\textsf{PKE}}$$ PKE 中使用的密钥 S 的选择。在本文中，我们使用 Gabidulin 代码分析了修改后的 Dual-Ouroboros $${\textsf{PKE}}$$ PKE 中 S 的不同可能选择。更具体地说，我们证明如果 S 在 $${\mathbb{F}}_{q^m}$$ F qm 上可逆而没有任何限制，那么解密算法将失败。此外，我们表明，Kim 等人提出的使用 Gabidulin 代码的改进的 Dual-Ouroboros $${\textsf{PKE}}$$ PKE 的密钥 S 超过 $${\mathbb{F}}_q$$ F q因为它的解密算法是正确的。然后，我们提出了两种攻击：密钥恢复攻击和明文恢复攻击，对他们的 $${\textsf{PKE}}$$ PKE 使用 S over $${\mathbb{F}}_q$$ F q 。我们能够在 235 秒内恢复所有建议参数的密钥。此外，我们展示了他们提案中的公钥矩阵生成了 Gabidulin 代码的子代码。因此，我们可以对他们的提议应用 Frobenius 弱攻击，并在 0.614 秒内恢复所有提议参数的明文。最后，我们提出了使用 Gabidulin 代码的修改后的 Dual-Ouroboros $${\textsf{PKE}}$$ PKE 的建议，使其正确且安全，