两方安全计算中涉及的可验证解密技术可以应用在医疗研究数据共享、机构间合作进行模型训练等有隐私保护需求的现实场景中，有助于进一步打破数据孤岛、保障数据安全。但是目前已有的为基于格密码或其他后量子加密方案正确解密所构造的零知识证明效率不高。面对这一现状，本文针对Kyber提出了一个基于模容错学习问题(MLWE)和模小整数解问题(MSIS)的可验证解密方案。首先，根据Kyber的加解密特性，在利用证明者和验证者所持数据构造相等关系时存在差异，方案提出了一种利用误差估计结合Kyber压缩函数使证明者提供给验证者一部分所持数据的信息从而消除差异的方法，进而提供可以用于验证的相等关系，把该关系与Dilithium签名方案无公钥压缩版本的框架结合构造非交互式零知识证明，将可验证解密问题转变为证明环中短向量满足的线性关系。其次，在理论上分析了方案的正确性、安全性、通信开销和计算复杂度，将方案的合理性和零知识性规约到MSIS困难假设，并提供了2组不同安全等级的建议参数设置。最后，通过编写C 语言程序测试了本文方案的正确性和效率。实验结果与理论分析结果基本一致，与现有方案相比，本文方案在对单个密文的证明大小和证明时间上有显著优势，更加简洁、高效。

• 单位
  中国科学院大学; 中国科学院重庆绿色智能技术研究院