CN102013983B - 一种基于强rsa假设的数字签名方法 - Google Patents

一种基于强rsa假设的数字签名方法 Download PDF

Info

Publication number
CN102013983B
CN102013983B CN2010105699090A CN201010569909A CN102013983B CN 102013983 B CN102013983 B CN 102013983B CN 2010105699090 A CN2010105699090 A CN 2010105699090A CN 201010569909 A CN201010569909 A CN 201010569909A CN 102013983 B CN102013983 B CN 102013983B
Authority
CN
China
Prior art keywords
signature
message
rsa
length
hypothesis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2010105699090A
Other languages
English (en)
Other versions
CN102013983A (zh
Inventor
喻平
薛锐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Software of CAS
Original Assignee
Institute of Software of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Software of CAS filed Critical Institute of Software of CAS
Priority to CN2010105699090A priority Critical patent/CN102013983B/zh
Publication of CN102013983A publication Critical patent/CN102013983A/zh
Application granted granted Critical
Publication of CN102013983B publication Critical patent/CN102013983B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于强RSA假设的数字签名方法,包括如下步骤:1)签名服务器根据安全参数k和指数长度l,和消息长度lm以及参数的长度le,满足le>lm,生成基于强RSA假设的公钥PK和私钥SK;2)针对需要传输的消息m,利用私钥生成签名(υ,e,s),其中υ=bγmodn,λ=γ×e-β,
Figure DSA00000370533200011
为随机元素,n为RSA模数,γ∈R[0,2l)和β∈R[0,2l)为选取的随机数,e为随机质数长度为le
Figure DSA00000370533200012
s=λ-α×m,α∈R[0,2l)为选取的随机数;3)将与消息m对应的签名(υ,e,s)发送给接收服务器;4)接收服务器验证签名(υ,e,s),利用上述公钥判定所述签名是否有效。本发明在保证签名安全性的情况下,极大地降低了计算代价,本发明与现有技术的数字签名方法相比,计算代价最低,同时支持在线\离线的签名方式,提高了签名服务器的处理效率,节省了签名服务器的运算资源。

Description

一种基于强RSA假设的数字签名方法
技术领域
本发明主要涉及信息安全的数字签名方法,尤其涉及一种高效的基于强RSA假设的数字签名方法。
背景技术
随着网络技术的不断发展,网络信息的交互越来越频繁,仅仅加密信息已经远远不能满足需求,数字签名的应用已经越来越广泛。
数字签名是现代密码学中的基础原语。签名方案中,签署者生成包括签署密钥和验证密钥的密钥对。签署密钥由签署者秘密保存,验证密钥对潜在的验证者公开。对于一个消息,签署者使用签名函数和签署密钥生成一个串,该串称为该消息的签名。之后验证者能使用验证函数和验证密钥检验该签名的合法性。
数字签名的安全性分析中一个常用的方法是随机应答器模型(Random Oracle Model),在该模型中建立一个能被所有主体访问的随机应答器。因为随机应答器是为在数学上分析方便而引入的一种理想的概念,现实中该算法往往由密码学中的哈希函数代替。随机应答器模型下,可以设计出高效的密码学方案。例如最优非对称加密填充(OAEP)的RSA方案,RSA方案在这种模式下加密已经被证明在随机应答器模型下是安全的。然而,Canetti等人提出存在随机应答器模型下被证明是安全的方案,但是该随机应答器的任何实例都会导致不安全的构造。他们的工作表明随机应答器模型在根本上是存在一些问题的。
另外一种模型称为标准模型(standard model),该模型中模拟所有主体的行为都和现实协议中的行为是一样的或者是不可区分的。安全证明中不再需要其他的假设。由于随机应答器是启发式的方法,所以密码学中趋向于设计在标准模型下安全的方案。
第一个签名方案是RSA方案,RSA方案组合上填充方式被证明在随机应答器模型下是安全的,该方案基于的假设是RSA假设。2000年,Cramer和Shoup提出在标准模型下安全的签名方案,但是该方案是基于一个更强的假设——强RSA假设。之后许多基于强RSA假设的方案越来越多,如Camenish-Lysyanskaya方案,Zhu方案,Yu-Tate方案等等。这些方案的主要优势在于他们都有在标准模型下的安全性证明,主要的劣势在于与RSA方案相比,他们需要付出更多的计算代价。例如Camenish-Lysyanskaya方案的计算代价大约是RSA方案的三倍。
下面是现有签名方法的具体分析:
1)相关概念及定义
安全的RSA模RSA模n=pq,如果p=2p′+1并且q=2q′+1,其中p′,q′为质数,则称模n是安全的。
强RSA假设:假设n为RSA模,对于一个随机元素对于任意的多项式概率算法,找到一对(v,e),使得e>1并且ve=umodn的概率是可忽略的。
安全的签名方案:一个签名方案S=<Gen,Sig,Ver>,Gen表示密钥生成算法,用于生成验证公钥和签名私钥;Sig表示签名算法,用于生成某个消息的签名;Ver表示验证算法,用于验证得到的签名是否合法。如果伪造者在知道多项式个由他自己选择的消息对应的签名后,仍然不能伪造一个新的消息对应的签名。称这个签名方案在自适应选择消息攻击下是存在性不可伪造的。
2)Camenish-Lysyanskaya方法及其分析改进
Camenish-Lysyanskaya方法(简写为CL方法)的具体内容如下。
密钥生成输入1k,选取安全的RSA模n=pq,其中p=2p′+1,q=2q′+1,且p,q的长度为ln=2k。随机选取a,b,c∈QRn。输出公钥PK=(n,a,b,c),私钥SK=(p′,q′)。
生成签名输入信息
Figure BSA00000370533400022
随机选取长度为le≥lm+2的质数e,选取随机数s,其长度为ls=ln+lm+l,其中l是安全参数。计算
Figure BSA00000370533400023
将(e,s,υ)作为消息m的签名。
进行验证要验证(e,s,υ)是否为消息m的签名,检查υe≡ambscmodn,以及
Figure BSA00000370533400024
若成立则输出1,表示该签名是合法的,否则,输出0。
CL方案已经证明在标准模型下是存在性不可伪造的。
考虑到签名(e,s,υ)中的第二项s的长度带来的计算代价,本发明从降低s的长度上减少计算代价。注意到,一个合法的CL签名满足υe≡ambscmodn,因为s>e,由带余除法,则s总能表示为s=k′e+s′,其中k′为整数,s′<e。因此得到υe≡ambsc≡ambk′e+s′c≡ambk′ebs′cmodn,最后得到υeb-k′e≡υ′e≡ambs′cmodn,其中s′<e且υ′=υb-k′modn。这个变换表明,从一个合法的CL签名中,总能得到一个s′长度更短的新的合法签名。由此得到CL方案的一个变体,其中s′<e容易计算得到,这个方法的安全性与原方案的安全性是等价的。由此得到如下引理。
引理1CL方案中,随机数s的长度要求并不影响整个方案的安全性,因此可以通过修改s的长度提高计算效率。
3)Yu-Tate方案的分析
2008年,Yu和Tate提出一个在线/离线的签名方案,这里简写为YT方案。他们的方案与CL方案的结构相同,且拥有相同的验证算法。YT方案与CL方案的不同点在于,在YT方案中,首先计算υ=bγmodn,之后s由a,b,c指数之间的关系计算出来。YT方案中a=bαmodn,c=bβmodn,因此,γ×e≡α×m+s+βmod p′q′。s可以从这个等式中计算得到。
YT方案可以分为在线和离线两个部分,在需要签名的消息到达之前,可以离线生成υ和e。当消息到达时,在线生成s,然后输出相应的签名。这种在线/离线方式可以大大的提高签名服务器的处理能力。
总的来看,设计数字签名方法既要考虑安全证明又要考虑计算代价。在基于强RSA假设的这一类数字签名方案中,既要有在标准模型下的安全性证明,又要尽量降低计算代价。
发明内容
针对上述分析,本发明的主要目的是提出一个高效的基于强RSA假设的数字签名方法,该方法不仅在标准模型下有安全性证明,并且其计算代价比现在已有签名方法都要低,甚至比基于RSA的方法低,加快了运算速度,减少了运算时间,提高了签名服务器的处理效率和能力。
本发明考虑通过降低υ的计算代价来减少整体方案的计算代价。在YT方案中,所有的操作都是在群QRn中进行的。特别地,计算υ时,γ选取为长度1022比特的整数作为典型的设置。本发明通过离散对数问题将该指数的长度减少为160比特,从而大大的减少了签名时的计算代价。许多研究者已经讨论过小指数的离散对数问题,即假设当指数大于某个门限值时,没有有效的算法计算该指数,这里称为离散对数的小指数假设(DLSE)。为保证在证明中改变指数的长度后不影响敌手所观察到的信息,本发明提出小指数与大指数不可区分假设。
小指数与大指数的不可区分性令g是群G的生成元,且假设离散对数的小指数计算问题是困难的。lf是阶的比特长度。令ls<lf大于某个门限值,使得DLSE假设成立(例如ls>160)。令(a=gx,b=gy),x∈R(0,lf),y∈R(0,ls),在DLSE假设下,区分a,b是不可行的。
本发明中的基于强RSA假设的数字签名方法,包括如下1),2),3),4)四个步骤:
1)签名服务器根据安全参数k和指数长度l,以及消息长度lm和参数长度le,满足lm<le生成基于强RSA假设的公钥PK和私钥SK;
2)签名服务器针对需要传输的消息m利用上述私钥生成签名(υ,e,s).具体如下:
第一步,计算υ=bγmodn和λ=γ×e-β,其中b为随机元素
Figure BSA00000370533400041
γ∈R[0,2l)和β∈R[0,2l)为选取的随机数,随机选择e为质数,长度为le;n为RSA模数;
第二步,出现消息
Figure BSA00000370533400042
后,计算s=λ-α×m,α∈R[0,2l)为选取的随机数。
3)将与m对应的签名(υ,e,s)发送给接收服务器。
4)服务器验证收到的签名(υ,e,s),利用上述公钥判定所述签名是否有效。
所述指数长度l要符合离散对数的小指数假设,即满足DLSE假设。
生成公钥PK和私钥SK的具体方法为:
第一步,选取RSA模n=pq,p=2p′+1,q=2q′+1,p,q的长度为k,并令n的长度ln=2k,p′,q′为质数;
第二步,令QRn的二次剩余类群,随机选取QRn的生成元b,计算a=bαmodn,α∈R[0,2l),并计算c=bβmodn,β∈R[0,2l),
输出公钥PK=(n,a,b,c),私钥SK=(p′q′,α,β)。
所述服务器验证签名(υ,e,s)的方法具体如下:
接收者收到签名(υ,e,s),检查是否满足:υe≡ambscmodn.如果满足则签名有效。否则签名无效.
所述参数k,l建议取k=512,l=160。这是根据现在的计算机计算能力而建议的安全参数.
所述2)步骤的第一步在离线状态下进行,即在消息到达之前,可以预计算生成;第二步在在线状态下进行,即在消息到达时实时计算生成。
本发明在保证签名安全性的情况下,极大地降低了计算代价,提高了签名服务器的处理效率,节省了签名服务器的运算资源。如果以典型的参数ln=1024,l=160来确定本发明的计算代价,主要的计算代价发生在第一步中,其计算代价为160位的模乘法运算,以及81位的质数生成运算。第二步中的计算代价为两个160位的整数的加法运算。由于所有数字签名的方法都要生成一个大质数来保证其安全性,本发明的方法同样运用了Groth提出的方法来降低生成大质数的计算代价。即通过生成一个小质数然后进行平方运算来达到安全性的要求。因此大质数的生成方法是一致,所以不比较质数的生成代价。与现有的数字签名方法相比,在相同的参数设置下,RSA生成签名的计算代价为1024比特的模乘法运算,CS方案为1504比特的模乘法运算,CL方案为2528比特的模乘法运算,Zhu方案为1344比特的模乘法运算,YT方案为1024比特的模乘法运算,本发明仅为160比特的模乘法运算,因此在同类算法中,本发明所需要付出的计算代价是所有方案中最小的,其签名服务器的处理效率得到了极大的提高。此外,本发明支持在线\离线的签名方式,也能提高签名服务器的处理能力。因此,本发明的数字签名方法安全高效。
具体实施方式
下面根据具体实施例进一步说明本发明的方法。
一种基于强RSA假设的数字签名方法,包括如下步骤:
1)签名服务器生成数字签名
A、根据安全参数k和指数长度l,以及消息长度lm和参数长度le,满足lm<le,生成基于强RSA假设的公钥PK和私钥SK;
B、签名服务器针对需要传输的消息m利用上述私钥生成签名(υ,e,s),具体步骤如下:
第一步,计算υ=bγmodn和λ=γ×e-β,其中b为随机元素
Figure BSA00000370533400051
γ∈R[0,2l),β∈R[0,2l)为选取的随机数,随机选择e为质数,长度为le;n为RSA模。
第二步,出现消息
Figure BSA00000370533400052
后,计算s=λ-α×m,α∈R[0,2l),发送与m对应的签名(υ,e,s)给接收者。
2)接收服务器利用公钥验证签名(υ,e,s)是否有效。
指数长度l符合离散对数的小指数假设。k=512,l=160。则ln=1024。
生成公钥和私钥的方法为:
以1k为输入,输出基于强RSA假设的公钥PK和私钥SK。
其生成公钥PK和私钥SK的具体方法为:
第一步,选取RSA模n=pq,p=2p′+1,q=2q′+1,p,q的长度为k,令ln=2k,p′,q′为质数;
第二步,令QRn
Figure BSA00000370533400061
的二次剩余类群,随机选取QRn的生成元b,计算a=bαmodn,α∈R[0,2l),并计算c=bβmodn,β∈R[0,2l),输出公钥PK=(n,a,b,c),私钥SK=(p′q′,α,β)。所述第2)步骤的方法为:
接收者接收签名(υ,e,s),计算υe≡ambscmodn是否成立,成立为签名有效。
所述B步骤的第一步在离线状态下进行,即可以在消息签名前,签名者自己进行预计算;第二步当要签名的消息明确后,利用前一步的结果,随时在线签名。

Claims (6)

1.一种基于强RSA假设的数字签名方法,包括如下步骤:
1)签名服务器根据安全参数k和符合离散对数的小指数假设的指数长度l,以及消息长度lm和参数长度le,满足lm<le,生成基于强RSA假设的公钥PK和私钥SK;其具体步骤为:
a)选取RSA模n=pq,其中p=2p′+1,q=2q′+1,p,q的长度为k,ln=2k,p′,q′为质数;
b)随机选取 的二次剩余类群QRn的生成元b,计算a=bαmodn,其中α∈R[0,2l),并计算c=bβmodn,其中β∈R[0,2 l),输出公钥PK=(n,a,b,c),私钥SK=(p′q′,α,β) ;
2)签名服务器针对需要传输的消息m,利用上述私钥生成签名(υ,e,s),其中υ=bγmodn,λ=γ×e-β, 
Figure FSB00000779711200012
为随机元素,n为RSA模数,γ∈R[0,2l)和β∈R[0,2l)为选取的随机数,e为质数,长度为le; 
Figure FSB00000779711200013
s=λ-α×m,α∈R[0,2l)为选取的随机数;
3)将与消息m对应的签名(υ,e,s)发送给接收服务器;
4)接收服务器验证签名(υ,e,s),提取上述公钥(n,a,b,c),计算υe≡ambscmodn是否成立,成立则签名有效,否则签名无效。
2.根据权利要求1所述的基于强RSA假设的数字签名方法,其特征在于所述k=512,l=160。
3.根据权利要求1所述的基于强RSA假设的数字签名方法,其特征在于所述步骤2)在离线状态下计算υ=bγmodn和λ=γ×e-β。
4.根据权利要求3所述的基于强RSA假设的数字签名方法,其特征在于所述步骤2)在消息到达前计算υ=bγmodn和λ=γ×e-β。
5.根据权利要求1或3所述的基于强RSA假设的数字签名方法,其特征在于所述步骤2)在在线状态下计算s=λ-α×m,生成与消息m对应的签名(υ,e,s)。
6.根据权利要求5所述的基于强RSA假设的数字签名方法,其特征在于所述步骤2)在消息m到达时实时计算s=λ-α×m,生成与消息m对应的签名(υ,e,s)。 
CN2010105699090A 2010-11-26 2010-11-26 一种基于强rsa假设的数字签名方法 Expired - Fee Related CN102013983B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010105699090A CN102013983B (zh) 2010-11-26 2010-11-26 一种基于强rsa假设的数字签名方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010105699090A CN102013983B (zh) 2010-11-26 2010-11-26 一种基于强rsa假设的数字签名方法

Publications (2)

Publication Number Publication Date
CN102013983A CN102013983A (zh) 2011-04-13
CN102013983B true CN102013983B (zh) 2012-08-22

Family

ID=43844013

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010105699090A Expired - Fee Related CN102013983B (zh) 2010-11-26 2010-11-26 一种基于强rsa假设的数字签名方法

Country Status (1)

Country Link
CN (1) CN102013983B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104184581B (zh) * 2014-08-07 2017-05-31 中国人民武装警察部队工程大学 一种带符号二次剩余类群中的公钥加密方法
CN105245343B (zh) * 2015-09-22 2018-09-14 华南理工大学 一种基于多变量密码技术的在线离线签名系统及方法
CN114679281B (zh) * 2022-03-15 2023-12-01 北京宏思电子技术有限责任公司 一种基于rsa的联合签名生成方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101291216A (zh) * 2007-04-16 2008-10-22 华为技术有限公司 P2p网络系统及其认证方法
CN101790166A (zh) * 2009-12-30 2010-07-28 上海柯斯软件有限公司 基于手机智能卡的数字签名方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NZ501273A (en) * 1997-05-28 2001-09-28 Marcel Mordechay Yung Auto-recoverable auto-certifiable cryptosystems

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101291216A (zh) * 2007-04-16 2008-10-22 华为技术有限公司 P2p网络系统及其认证方法
CN101790166A (zh) * 2009-12-30 2010-07-28 上海柯斯软件有限公司 基于手机智能卡的数字签名方法

Also Published As

Publication number Publication date
CN102013983A (zh) 2011-04-13

Similar Documents

Publication Publication Date Title
CA2806357C (en) Authenticated encryption for digital signatures with message recovery
Camenisch et al. Confirmer signature schemes secure against adaptive adversaries
CN101252431B (zh) 一种通用的数字签名方案的实现方法
CN103023648B (zh) 基于椭圆曲线离散对数问题的无证书签名方法
CN101977110B (zh) 一种基于椭圆曲线的群签名方法
CN102983971B (zh) 网络环境中进行用户身份认证的无证书签名方法
CN103259662B (zh) 一种新的基于整数分解问题的代理签名及验证方法
EP2442483A2 (en) Elliptic curve Pinstov Vanstone signature scheme with authenticated message recovery
CN103699851A (zh) 一种面向云存储的远程数据完整性验证方法
CN110896351B (zh) 基于全域哈希的身份基数字签名方法
Junru The improved elliptic curve digital signature algorithm
CN102883321A (zh) 一种面向移动微技的数字签名认证方法
CN101647229B (zh) 压缩的ecdsa签名
López-García et al. A pairing-based blind signature e-voting scheme
CN103414731A (zh) 一种并行密钥隔离的基于身份的聚合签名方法
CN102013983B (zh) 一种基于强rsa假设的数字签名方法
CN117879833A (zh) 一种基于改进椭圆曲线的数字签名生成方法
Zhou et al. Provably secure proxy-protected signature schemes based on factoring
CN112989436B (zh) 一种基于区块链平台的多重签名方法
Chen et al. Certificateless signatures: structural extensions of security models and new provably secure schemes
Yang et al. On-line/off-line threshold proxy re-signature scheme through the simulation approach
Fan et al. Strongly secure certificateless signature scheme supporting batch verification
CN101635627A (zh) 一种基于离散对数难题的数字签名方案
CN101702805B (zh) 移动自组织网络的自认证公钥生成及验证方法
Zhang et al. Provably secure and subliminal-free variant of schnorr signature

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120822

Termination date: 20171126

CF01 Termination of patent right due to non-payment of annual fee