CN102057620B - 生成针对消息的签名的方法和装置以及验证这种签名的方法和装置 - Google Patents

Abstract

本发明提供了一种用于生成针对消息m的签名σ的方法，该方法使得在线/离线签名成为可能。生成两个随机素数，p和q，其中，N＝pq；在

中选择两个随机二次剩余g和x，对于整数z，计算h＝g mod N。这给出了公钥{g，h，x，N}和私钥{p，q，z}。然后，选择整数t和素数e。则可以根据方程(I)计算离线签名部分y，其中，b是签名方案中预确定的大于0的整数。然后根据k＝t+mz计算与消息m相关的签名的在线部分k，根据σ＝(k，y，e)生成与消息m相关的签名σ，并返回。为了验证该签名，检查1)e是奇数IE比特整数，2)k是I_K比特整数，以及3)方程(II)。该方法的优点在于，可以在无需散列法的情况下执行。本发明还提供了签名设备(210)、验证设备(310)、以及计算机程序支持(260；360)。

Description

生成针对消息的签名的方法和装置以及验证这种签名的方法和装置

技术领域

本发明总体上涉及密码术，更具体地涉及不依赖于随机预言的在线/离线签名方案。

背景技术

本节旨在向读者介绍与以下描述和/或要求保护的本发明的各个方面有关的现有技术的各个方面。相信此处的讨论有助于向读者提供背景知识，以便读者能够更好的理解本发明的各个方面。因此，应当理解的是应该据此阅读这些说明，而不应将其视为对现有技术的认可。

在线/离线签名方案允许数字签名的2-阶段生成。在获知要签名的消息之前，可以执行成本较高的计算；这是离线阶段。一旦获知该消息，则在在线阶段中执行相对快速的计算。本领域技术人员将理解，限制时间型的应用(例如，电子支付，或者在驶向自动收费亭时)需要这种特性，并且不具有太多计算资源的低成本设备也需要这种特性。

在“On the Fly Authentication and Signature Schemes Based OnGroups of Unknown Order”Journal of Cryptology，19(4)：463-487，2006中，M.Girault、G.Poupard和J.Stern提出了被称作GPS方案的在线/离线签名方案。该方案的缺陷在于，其安全保障在于随机预言模型。

由B.Chevallier-Mames和M.Joye在M.Abe(编辑)的“A Practicaland Tightly Secure Signature Scheme Without Hash Function”，Topics inCryptology-CT-RSA 2007，volume 4377 of Lecture Notes in ComputerScience，pages 399-356，Springer-Verlag，2007中提出了标准模型中的一种在线/离线签名方案(即，不依赖于随机预言)。这种方案的缺陷在于，其参数、公钥和私钥的大小，以及作为结果的签名的大小(在离线和在线阶段皆如此)。此外，应当注意，签名大小的增大导致计算、存储和传输的效率损耗。

K.Kurosawa和K.Schmidt-Samoa在M.Yung等人的“NewOn-line/Off-line Signature Schemes Without Random Oracles”，PublicKey Cryptography-PKC 2006，volume 3958 of Lecture Notes inComputer Science，pages 330-346，Springer-Verlag，2006中提出了标准模型中的另一种在线/离线签名方案。这种方案的缺陷在于，在线阶段涉及模乘法，其比整数乘法成本更高。

Marc Joye和Hung-Mei Lin在“On the TYS Signature Scheme”中提出了其他在线/离线签名方案。这些方案是原始形式和修改后形式的Tan-Yi-Siew(TYS)签名方案。

原始TYS方案首先生成公钥和私钥。选择两个随机素数p＝2p’+1和q＝2q’+1，其中，p和q’是素数，并且，log₂ p’q’＞2I+1，N＝pq。选择

中的两个二次剩余g和x，使得g的秩是p’q’。最后，选择随机I比特整数z，并计算h＝g^-zmod N。公钥是pk＝{g，h，x，N}，并且私钥是sk＝{p，q，z}。m表示要签名的消息。随机挑选出I比特整数k和I比特素数e，并且计算以下值：y＝(xg^-k)^1/e mod N、c＝H(pk，y，m)和t＝k+cz。则与消息m相关的签名是σ＝(t，y，e)。然而，作者发现TYS方案是完全不安全的，并因此提供了修改的方案。

修改的方案利用四个安全参数(I_N、I_H、I_E和I_K)，它们满足I_E≥I_H+2和I_K＞＞I_N+I_H。修改的方案首先生成公钥和私钥。选择两个随机素数p＝2p’+1和q＝2q’+1，其中，p’和q’是等长的素数，使得N＝pq的长度为I_N。随机选择中的两个二次剩余g和x。最后，针对随机整数z modp’q’计算h＝g^-zmod N。公钥仍是pk＝{g，h，x，N}，私钥是sk＝{p，q，z}。m表示要签名的消息。随机挑选出I_K比特整数t和I_E比特素数e，并且计算以下值：y＝(xg^-t)^1/e mod N、c＝H(pk，m)和k＝t+cz。则与消息m相关的签名是σ＝(k，y，e)。如将理解的，这主要改变了一些参数的长度，但是这事实上确实提供了TYS方案所缺乏的安全性。然而，可以被看作Camenishch-Lysyanskaya签名方案的变型的该修改方案仍需要相当多的计算，并且提供十分长的签名。例如，典型参数长度(I_N＝1024，I_H＝160，I_E＝162，和I_K＝1344)，针对1024比特RSA模数，给出1344+1024+162＝2530比特的签名长度。

因此，可以理解，需要一种提供在线/离线数字签名的改善的解决方案。本发明提供了这样的解决方案。

发明内容

在第一方面中，本发明涉及一种用于生成针对消息m的签名σ的方法。获得三个整数y、e、t，它们满足y＝(xg^-t)^1/e mod N，其中，c取决于e，并且x、g和N是公钥的元素，x和g是

中的二次剩余，N是I_N比特整数；计算签名σ的第一部分k，其中，k的计算包括m与I_Z比特整数z的整数乘法，以及与t的加法；以及，输出签名σ，签名σ包括至少三个值k、y和e。k、e、z、N和h(h是公钥的整数元素)的长度分别表示为I_K、I_E、I_Z、I_N和I_H，针对给定值b满足以下关系，其中该关系表示c和e之间的关系：

I_N≥2(I_E+2)；

b(I_E-1)≥I_K+1；以及

I_N-4≥I_K＞＞I_Z+I_H。

在第一优选实施例中，e是素数，c等于e的正整数b次幂。使用e的b次幂使得更短的签名成为可能。

在第二优选实施例中，N是包括至少两个素数p和q的RSA模数。有利的是，p＝2p’+1和q＝2q’+1，其中，p’和q’是素数。

在第三优选实施例中，通过生成素数e和整数t来获得三个值y、e、t；以及计算y＝(xg^-t)^1/c mod N。

在第四优选实施例中，从存储在存储器中的票据获得三个值y、e、t。

在第五优选实施例中，在获得三个值y、e、t与计算签名的第一部分k的步骤之间，接收消息m。

在第六优选实施例中，输出具有签名σ的消息m。

在第二方面中，本发明涉及一种用于验证消息m的签名σ的方法，所述签名是由根据本发明第一方面的方法所生成的。验证y^cg^kh^m≡x(mod N)，其中，c取决于e，并且h是公钥的元素。

在第七优选实施例中，还验证e是奇数。

在第十优选实施例中，还验证e是I_E比特整数，k是I_K比特整数。

在第三方面中，本发明涉及一种用于生成针对消息m的签名σ的设备。签名设备包括：处理器，适于获得三个整数y、e、t，它们满足y＝(xg^-t)^1/cmod N，其中，c取决于e，并且x、g和N是公钥的元素，x和g是

中的二次剩余，N是I_N比特整数；以及计算签名σ的第一部分k，其中，k的计算包括m与I_Z比特整数z的整数乘法，以及与t的加法。签名设备还包括：输出单元，适于输出签名σ，签名σ包括至少三个值k、y和e。k、e、z、N和h(h是公钥的整数元素)的长度分别表示为I_K、I_E、I_Z、I_N和I_H，针对给定值b满足以下关系，其中该关系表示c和e之间的关系：

I_N≥2(I_E+2)；

b(I_E-1)≥I_K+1；以及

I_N-4≥I_K＞＞I_Z+I_H。

在第四方面中，本发明涉及一种用于验证消息m的签名σ的设备，所述签名是由根据本发明第一方面的方法所生成的。验证设备包括：处理器，适于验证y^cg^kh^m≡x(mod N)，其中，c取决于e，并且h是公钥的元素。

在第五方面中，本发明涉及一种存储指令的计算机程序支持，当在处理器中执行时，所述指令执行本发明第一方面的对消息m进行签名的方法。

在第六方面中，本发明涉及一种存储指令的计算机程序支持，当在处理器中执行时，所述指令执行本发明的第二方面的验证消息m的签名σ的方法。

附图说明

现在将参照附图，描述作为非限制示例的本发明的优选特征，在附图中：

图1示出了根据本发明优选实施例的用于生成针对消息m的数字签名以及验证该数字签名的方法；

图2示出了根据本发明优选实施例的用于生成至少一个数字签名的单元；以及

图3示出了根据本发明优选实施例的用于验证消息m的数字签名的单元。

在图2和3中，所示出的模块是纯功能实体，其不一定与物理上分离的实体相对应。可以将这些功能实体实现为硬件、软件或软件和硬件的组合；此外，这些功能实体可以在一个或更多集成电路中实现。

具体实施方式

如上所述，在线/离线签名方案具有离线阶段和在线阶段，离线阶段在接收要签名的消息之前执行(但是自然也可以在接收之后执行)，在线阶段在一旦获知消息m时就执行。本领域技术人员将理解，消息m可以是较长消息的摘要。

离线阶段的第一部分是密钥生成。首先，生成两个随机素数p和q。优选地，p＝2p’+1和q＝2q’+1，其中，p’和q’是等长的素数，使得N＝pq的长度为I_N。然后，选择

中的两个随机二次剩余g和x。最后，针对I_Z比特整数z，计算h＝g^-zmod N。

则公钥pk是{g，h，x，N}，并且私钥sk是{p，q，z}。

离线阶段的第二部分是计算签名的离线部分y。选择随机I_K比特整数t和随机I_E比特素数e。则如下计算离线签名部分y：

$y={\left({\mathrm{xg}}^{-t}\right)}^{{1/e}^b}\mathrm{mod}N$

其中，b是签名方案中预定的大于0的整数。

现在，该方案准备用于接收要签名的消息m；m∈M，其中，M表示消息空间

也可以将其视为在区间

中的整数集合。然后可以如下计算签名的在线部分k：

k＝t+mz

并且与消息m相关的签名是σ＝(k，y，e)。

有利地，在传输之前，验证签名的在线部分k是I_K比特整数；如果不是，优选地基于其他值生成另一签名。本方案的优点在于，可以在无需散列法的情况下执行在线阶段。

然后返回签名σ来进行验证；如果需要，还提供公钥，并且此外也可以提供消息m。当且仅当以下情况，接受与消息m相关的签名σ＝(k，y，e)：

1.e是I_E比特奇整数，

2.k是I_K比特整数，以及

3. $y^{e^b}{g}^k{h}^m\≡x\left(\mathrm{mod}N\right).$

在该方案中，参数I_K、I_E、I_Z、I_N和I_H(后者表示输入消息m的最大比特长度)针对预定值b应当满足以下关系：

I_N≥2(I_E+2)；

b(I_E-1)≥I_K+1；以及

I_N-4≥I_K＞＞I_Z+I_H。

应当注意到，值b也是可变的，在这种情况下，值b可以是公钥pk的一部分，或者包括在签名σ中。

应当理解，上述关系不是随机选择的，并且这些关系也不是本领域技术人员所能做出的修改，这是由于本领域技术人员没有动机提出这些特定关系。毕竟，如关于TYS方案所示，签名方案是微妙的，并且不能轻易进行对签名方案的修改。这些关系使得对方案安全性的保障成为可能，可以将其称作本发明的有创造性的重要部分。

示例性地，典型值I_H＝160，I_N＝1024，I_Z＝160，I_K＝380，I_E＝128和b＝3，对于1024比特RSA模数，给出了仅1532比特的签名。

图1示出了根据本发明优选实施例的用于生成针对消息m的数字签名以及验证该数字签名的方法。流程图示出了上文中的过程。在步骤110中，生成公钥pk和私钥sk。然后在步骤120中生成数字签名的离线部分y。一旦在步骤130中接收到消息m，则可以计算在线部分k，并将其用于在步骤140中生成完整的数字签名σ。在步骤150中发送数字签名σ和公钥，并且在步骤160中验证数字签名σ。

图2示出了根据本发明优选实施例的用于生成至少一个数字签名的单元210。数字签名单元210包括：输入单元230，适于接收要签名的消息m；以及输出单元240，适于发送数字签名σ。输出单元240可以适于发送用于签名的公钥pk。输出单元240也可以适于与相应数字签名σ一起或分离地发送消息m(以及公钥pk，根据具体情况而定)。应当理解，可以将输入单元230和输出单元240组合为输入/输出单元(未示出)。

数字签名单元210还包括：至少一个处理器220(下文中被称作“处理器”)，适于执行用于生成针对接收到的消息m的数字签名的计算。数字签名单元还包括：存储器250，适于存储计算所必需的数据。

本领域技术人员将理解，数字签名单元210能够存储一定数量的所谓的票据(coupon)，即，预先计算的离线签名部分。还应当理解，可以例如在制造期间由在数字签名单元210外部的源来提供这种票据，在这种情况下，输入单元230(或者另一适合的单元；未示出)适于接收这种票据。

本领域技术人员应当理解，数字签名单元210还能够生成其签名的消息m。在这种情况下，输出单元240还有利地适于发送消息m。

图2还示出了存储指令的计算机程序支持260(例如，示例CD-ROM)，当在处理器220中执行时，所述指令执行上述对消息m进行签名的方法。

图3示出了根据本发明优选实施例的用于验证消息m的数字签名的单元310。验证单元310包括：输入330，适于接收数字签名σ，以及如果需要则适于接收用于签名的公钥pk。应当理解，验证单元310可以拥有与数字签名单元相对应的一定数量的公钥。验证单元310还包括：输出单元340，适于输出接收到的数字签名σ是否正确的信息。验证单元310还可以包括用于发送要签名的消息m的单元(可以包括在输出单元340中)。输入单元330还可以适于与相应数字签名σ一起或分离地接收消息m(以及公钥pk，根据具体情况而定)。

验证单元310还包括：至少一个处理器320(下文中被称作“处理器”)，适于执行验证数字签名σ所必需的计算；以及存储器350，适于存储验证消息m所必需的数据，具体地，存储消息m本身。

图3还示出了存储指令的计算机程序支持360(例如，示例CD-ROM)，当在处理器320中执行时，所述指令执行如上所述的验证签名消息m的签名σ的方法。

可以将说明书(适当的地方)和权利要求以及附图中所公开的每个特征以独立或者以任何适当组合的方式来加以提供。还可以将被描述为以硬件实现的特征用软件来实现，并且反之亦然。可以将连接(可应用的地方)实现为无线连接或有线连接(不一定是直接的或专用的)。

应当理解，在说明书和权利要求中，应当将表述“随机”视为“随机或伪随机”。

权利要求中出现的引用标号仅是示意性的，其不应对权利要求的范围起到限制性作用。

Claims (13)

1.一种用于生成针对消息m的签名σ的方法，所述方法包括以下步骤：

-获得(110、120)三个整数y、e、t，它们满足y＝(xg^-t)^1/cmodN，其中，c＝e^b，b是正整数，并且x、g和N是公钥的元素，x和g是中的二次剩余，N是I_N比特整数；

-计算(140)签名σ的第一部分k，其中，k的计算包括m与I_Z比特整数z的整数乘法，以及与t的加法；以及

-输出(150)所述签名σ，所述签名σ包括至少三个值k、y和e，

其中，k、e、z、N和h的长度分别表示为I_K、I_E、I_Z、I_N和I_H，h是所述公钥的整数元素，满足以下关系：

I_N≥2(IE+2)；

b(I_E-1)≥I_K+1；以及

I_N-4≥I_K。

2.根据权利要求1所述的方法，其中，I_K远大于I_Z+I_H。

3.根据权利要求1所述的方法，其中，N是包括至少两个素数p和q的RSA模数。

4.根据权利要求3所述的方法，其中，p＝2p’+1和q＝2q’+1，其中，p’和q’是素数。

5.根据权利要求1所述的方法，其中，获得(120)三个值y、e、t的步骤包括以下步骤：

-生成素数e和整数t；以及

-计算y＝(xg^-t)^1/cmodN。

6.根据权利要求1所述的方法，其中，从存储在存储器(250)中的票据获得所述三个值y、e、t。

7.根据权利要求1所述的方法，还包括：在所述获得步骤(120)与所述计算步骤(140)之间接收(130)所述消息m的步骤。

8.根据权利要求1所述的方法，其中，所述输出步骤(150)还包括输出所述消息m。

9.一种用于验证消息m的签名σ的方法，所述签名是由根据权利要求1至8中任一项所述的方法生成的，所述验证方法包括以下步骤：

-验证(160)y^cg^kh^m≡x(modN)，其中，c取决于e，并且h是所述公钥的元素。

10.根据权利要求9所述的方法，还包括：验证(160)e是奇数的步骤。

11.根据权利要求9所述的方法，还包括：验证(160)e是I_E比特整数以及k是I_K比特整数的步骤。

12.一种用于生成针对消息m的签名σ的设备(210)，所述签名设备包括：

-处理器(220)，适于：

-获得三个整数y、e、t，它们满足y＝(xg^-t)^1/cmodN，其中，c取决于e，并且x、g和N是公钥的元素，x和g是

中的二次剩余，N是I_N比特整数；以及

-计算签名σ的第一部分k，其中，k的计算包括m与I_Z比特整数z的整数乘法，以及与t的加法；以及

-输出单元(240)，适于输出所述签名σ，所述签名σ包括至少三个值k、y和e，

其中，k、e、z、N和h的长度分别表示为I_K、I_E、I_Z、I_N和I_H，h是公钥的整数元素，针对给定值b满足以下关系，其中该关系表示c和e之间的关系：

I_N≥2(IE+2)；

b(I_E-1)≥I_K+1；以及

I_N-4≥I_K。

13.一种用于验证消息m的签名σ的设备(310)，所述签名是由根据权利要求1-8中任一项所述的方法生成的，所述验证设备包括：处理器(320)，适于：

-验证y^cg^kh^m≡x(modN)，其中，c取决于e，并且h是所述公钥的元素。

Images