CN102064938A - 一种基于多变量与不确定性的公钥加密方法 - Google Patents

Abstract

一种基于多变量与不确定性的公钥加密方法，属于密码技术和计算机技术领域；包括密钥生成、加密和解密三个部分；其用户拥有两个密钥，一个只能私有，叫私钥，一个可以公开，叫公钥，它从

得来，且从它不能推导出私钥

公钥用于把明文转换成密文，即

(加密)，私钥用于把密文

Description

一种基于多变量与不确定性的公钥加密方法

(一)技术领域

公开密钥加密方法(简称公钥加密方法或公钥加密方案)属于密码技术和计算机技术领域，是电子商务安全、信息安全和可信计算的核心技术之一。

(二)背景技术

密码技术的发展经历了古典密码技术、对称密码技术和公钥密码技术三个阶段。1976年，美国学者Diffie和Hellman提出公钥密码的思想，标志着公钥密码技术的来临。目前，普遍使用的公钥加密技术有RSA、Rabin和ElGamal等方案(参见《应用密码学》，美国Bruce Schneier著，吴世忠、祝世雄等译，机械工业出版社，2000年1月，第334-342页)。为了缩短参数长度，ElGamal方案常在椭圆曲线上模拟实现，此时，它被称为ECC方案。另外，我国学者陶仁骥教授曾提出了FAPKC1、FAPKC3方案(参见《计算机学报》，1985(11)，pp.401-409)。

RSA、Rabin和ElGamal等方案均是美国人发明的。它们的安全性基于一些大数问题难于求解的性质，即在有限的时间和资源内，对大数进行因式分解或求离散对数几乎是不可能的。这是一种渐近安全。随着计算机运行速度的提高，它们的安全参数已变得越来越大，极大地降低了加解密的效率。特别是将来量子计算机的出现，使得大数因式分解和离散对数求解可以在多项式时间内进行。此外，一些学者在经过分析之后也指出FAPKC3在安全性方面存在问题(参见“非线性有限自动机的代数理论--兼谈FAPKC3公钥密码体制”，《通信保密》，1996(2)，pp.45-51)。

(三)发明内容

本发明是对“REESSE1公钥密码体制”(《计算机工程与科学》，2003(10)，pp.13-16)中加密方案的一个根本性革新，有着充分的安全性分析和证明。

本发明用于计算机和通信网络中字符、文字、图形、图象和声音等各种数据与文件的加密和解密，以确保数据、文件内容的保密存储与传输，可广泛应用于电子商务、电子金融和电子政务中。

本发明希望我们国家在公钥加密领域能够拥有自己的核心技术，以确保国家的信息安全、经济安全和主权安全，同时提高我国防范金融和税务欺诈的技术手段。

本节内容略去了对有关性质和结论的证明，如果需要补上，我们将立即呈交。

3.1 三个基本概念

令M为一素模数，

％代表模运算mod，n≥80为一个正整数，

3.1.1 互素序列的定义与性质

定义1：如果A₁、...、

是个两两不同的正整数，满足

A_j并i≠j，或者gcd(A_i，A_j)＝1；或者gcd(A_i，A_j)＝H≠1，但对任意k≠i、j，

且

那么，这一系列整数被称为互素序列，记为简记为{A_i}。

性质1：对于任意正整数

如果从互素序列{A_i}中随机选取m个元素，并构造子序列{Ax₁，...，Ax_m}，那么互素序列乘积

G＝Ax₁×...×Ax_m

被唯一地确定，即从G到{Ax₁，...，Ax_m}的映射是一对一的。

证明略。

3.1.2 比特对影子串

用比特对串B₁...B_n/2来代替比特明文分组b₁...b_n。

例如，若b₁...b₁₂＝100001011100，则B₁...B₆＝10 00 01 01 11 00。

定义2：令B₁...B_n/2≠0是一比特对串，按以下规则生成的B ₁...B _n/2被称作比特对影子串：若B_i＝00，则B _i＝0；若B_i≠00，则B _i等于B_i前面连续00对的个数加1；若B_i是最右边的非00对，则B _i等于B_i前后连续00对的个数加1。

例如，若B₁...B₆＝10 00 01 01 11 00，则B ₁...B ₆＝102120。

不难理解，有 ${\mathrm{\Σ}}_{i=1}^{n/2}{\underset{\‾}{B}}_i=n/2.$

性质2：令

为一个互素序列，B ₁...B _n/2为B₁...B_n/2≠0的比特对影子串，则从B₁...B_n/2到

的映射是一对一的，其中A₀＝1。

证明略。

3.1.3 杠杆函数

定义3：对于素域

上的公钥密码体制，密钥变换式中的参数l(i)被称为杠杆函数，如果它具有下列特性：

①l(.)是一个单射函数，其定义域为值域Ω为(1，M)的子集，这里

②i和l(i)之间的映射被随机确定，且不存在任何显性的从l(.)到公钥的映射；

③当试图从公钥提取私钥时，任何敌手不得不考虑Ω中元素的所有排列；

④当解密或数字签名时，私钥拥有者只需考虑Ω中元素的累加和。

显然，{l(i)}是在“公开”一端计算量大，在“私有”一端计算量小，它正好起到了“杠杆”的作用。

性质3(l(.)的不确定性)：令

则

并z≠x、y，

①当l(x)+l(y)＝l(z)时，有 $l\left(x\right)+\left|\right|W\left|\right|+l\left(y\right)+\left|\right|W\left|\right|\≠l\left(z\right)+\left|\right|W\left|\right|(\%\stackrel{\‾}{M});$

②当l(x)+l(y)≠l(z)时，总存在

C_x≡A′_xW′^l′(x)、C_y≡A′_yW′^l′(y)和C_z≡A′_zW′^l′(z)(％ M)

满足

且

这里

是体制中的最大素数。

证明略。

注意：

在本文中，序列

有时简写成{A_i}，序列

有时简写成{C_i}，杠杆函数

有时简写成{l(i)}。另外，乘法运算“A×B”简写成“AB”，“gcd”代表最大公约数，

代表比特的求反，“←”代表赋值，“≡”代表两边对M求余相等，“||x||”表示x％M的阶，“∈”表示左边变量的值属于某个区间或集合。

3.2 本发明的技术方案

本发明是一种基于多变量和不确定性的公钥加密方法，简称JUNA加密方法，根据该方法，可制造公钥加密、解密芯片，或开发公钥加密、解密软件等。因此，本发明是一种生产公钥加密解密产品所必须遵循的基本原理与技术方案，而不是物理产品本身。

本技术方案，由密钥生成、加密和解密等三部分组成。

3.2.1 公钥加密与解密操作

本文中，把加密之前的文件或数据叫明文，加密之后的文件或数据叫密文。

假设用户V欲通过网络向用户U发送一个文件或数据，且以保密的方式进行。用户V与用户U欲实现这么一个保密通信过程，其模式如下：

密钥生成：首先，用户U应该去第三方权威机构，即CA数字证书中心(CertificateAuthentication)领取由密钥生成部件输出的一对私钥(Private Key)与公钥(Public Key)，私钥必须由用户U自己保管，不得泄密；公钥则允许以公钥证书的形式向外界公开发放，以便于加密时使用。

加密操作：用户V从CA认证中心获得用户U的公钥证书，在运行加密部件的机器上对欲发送的明文进行加密，得到密文，并通过网络把密文传送给用户U。

解密操作：用户U接收到用户V发送来的密文后，在运行解密部件的机器上用自己的私钥对密文进行解密，恢复出明文。

需要注意的是，在公钥加密方法中，为了提高加密的效率，通常采用混合密码技术，即先用对称密码体制来加密明文，再用公钥密码体制来加密对称密钥，以便安全地传输它。

3.2.2 密钥生成部分

令一个明文分组的比特长度为n、私钥或公钥序列长度为

(这意味着序列的3个项对应到分组的2个比特)、为本方法中的最大素数(应该选取适当的

以至M不会太大)。

令

转换

到

是{3j-2，3j-1，3j}或者

的一个排列，对

令

是自然数中前n个素数。假设

是<A_3i-2，A_3i-1，A_3i>中的最大值，以降序排列

得到

密钥生成部分供CA认证中心使用，用来产生一对私钥和公钥，其实现方法是：

(1)随机产生奇互素序列

(2)寻找一个素数

使得

其中k满足

和

(3)生成 $<l\left(1\right),l\left(2\right),l\left(3\right)>,...,<l(\tilde{n}-2),l(\tilde{n}-1),l\left(\tilde{n}\right)>\&Element;\mathrm{\&Omega;}$

且两两不同

(4)随机选取

使得||W||≥2^n-30，

和 $\log ({\mathrm{\&delta;}}^{-1}\%\stackrel{\&OverBar;}{M})\&ap;\log (W^{-1}\%M)\&ap;\log W\&ap;n$

(5)计算

对

最后，以({C_i}、M)为公钥，以

为私钥，{l(i)}可以丢弃。

定义4：从寻找{A_i}、

W、δ被称为多变量排列难题(MPP)。

性质4：在相同素域上，多变量排列难题至少等价于离散对数难题(DLP)。(证明略)

3.2.3 加密部分

加密部分供发送方使用，用来对明文进行加密。发送方为获得加密密钥即接收方公钥，须从CA中心取得接收方的公钥证书。

假设({C_i}、M)是公钥，b₁...b_n≠0是明文分组，若在B₁...B_n/2中00对的个数大于n/4，则令

这样，加密部分的实现方法是：

(1)置C₀←1，k←0，i←1

(2)若B_i＝00，令k←k+1，B _i←0，否则B _i←k+1，k←0

(3)令i←i+1，

若i≤n/2，转到(2)

(4)若k≠0，令r←n/2-k，B _r←B _r+k

(5)计算 $\stackrel{\&OverBar;}{G}\&LeftArrow;{\mathrm{\&Pi;}}_{i=1}^{n/2}{\left(C_{3(i-1)+B_i}\right)}^{{\underset{\&OverBar;}{B}}_i}\%M$

最后，密文

被得到，它被称为非范子集积。

定义5：从

寻找B₁...B_n/2被称为非范子集积难题(ASPP)。

性质5：在相同素域上，非范子集积难题至少等价于离散对数难题。(证明略)

3.2.4 解密部分

解密部分供接收方使用，用来对密文进行解密。接收方以自己的私钥作为解密密钥。

假设

是私钥，

是密文。则解密部分的实现方法是：

(1)计算

$\stackrel{\&OverBar;}{A}\&LeftArrow;{{\stackrel{\&OverBar;}{A}}_{x_1}}^{n/4+1}{\mathrm{\&Pi;}}_{i=2}^{n/4}{\stackrel{\&OverBar;}{A}}_{x_i},$

置Z₁←Z₀，h←0

(2)若

或2|Zh，计算

转至(2)

(3)置G←Z_h，

B₁...B_n/2←0，i←1，j←0，k←0

(4)如果(A_3i-j)^k+1|G，

计算G←G/(A_3i-j)^k+1，B_i←3-j，k←0，

否则

令j←j+1，

若j≤2，转到(4)，否则k←k+1

(5)令i←i+1，

若i≤n/2且G≠1，置j←0，转至(4)

(6)令r←n/2-k，

若k≠0且

计算

(7)若G≠1，计算

转至(2)，否则，结束

最后，得到原始的明文分组B₁...B_n/2，即b₁...b_n。

显然，只要

是一个真正的密文，该解密方案总能够正常终止。

3.2.5 解密的正确性

因为

是阿贝尔群，有

W^k(W^-1)^k≡W^k(W^k)^-1≡1(％ M)。

令

其中l(0)＝0。我们需要证明

证明：

令B₁...B_n/2即b₁...b_n为明文分组或对称密钥，且A₀＝1。

根据密钥生成算法、加密算法和

有

上面的同余式两边开δ^-1次方根，得到

进一步，上面的同余式两边同乘以得到

显然，上面的证明同时也给了寻找G的一种方法。

注意，在实际应用中，明文分组B₁...B_n/2是事先不知道的，因此，我们不能直接计算k。然而，由于|k|≤3n(3n+4)/32的范围非常狭窄，我们可以通过乘W^-1％M来试探性地搜索k，并验证G在被一些(A_3i-j)^k+1整除后是否等于1。不难理解，当条件G＝1被满足的同时，原始的明文B₁...B_n/2亦被求出。

3.3 优点和积极效果

3.3.1 安全性高

私钥的安全性由性质4保证，明文的安全性由性质5保证，同时，一些证据表明MPP和ASPP是比DLP更困难的，这意味着MPP和ASPP在量子计算模型上也很可能没有多项式时间解。

另外，由于是相当大的，因此，企图利用连分式方法攻击私钥也是不可行的。分析表明，只要

就能使得连分式方法攻击完全失效。

3.3.2 模数长度较短

通过计算不难发现，当明文分组长度n＝80、96、112、128时，模数M的比特长度可以分别为320、384、448、512，相对来说，是较短的。相应地，私钥也是较短的。

3.3.3 运算速度较快

本方法的加密操作只需做O(n)个模乘运算，通过比较发现：它比目前普遍使用的RSA、ECC方案要快许多倍。解密操作的运行时间与概率有关，分析表明，其期望值接近ECC方案的解密运行时间。

3.3.4 技术可以公开

本发明的实现技术完全可以公开，用户的公钥(Public Key)也可以完全向外界公开发放。只要私钥(Private Key)不泄密，就可以完全保证密文的安全。

3.3.5 对国家安全有利

互联网是一种开放网，显而易见，在上面传输的各种信息必须进行加密。

由于我国政府、国防、金融、税务等重要部门业已使用互联网作为通信工具，因此，信息安全关系到国家主权安全和经济安全。

从密码制衡的角度来讲，一个泱泱大国的信息安全不能建立在外来的密码方案基础之上，因此，研究我们完全自主的、原始创新的公钥加密与数字签名方案显得势在必行、刻不容缓和具有重大意义。

(四)具体实施方式

基于多变量和不确定性的公钥加密方法的特点是它能够让每一用户得到两个密钥，一个密钥可以公开，用于加密，一个密钥只能私人拥有，用于解密。这样，就不会担心密钥在网上传递过程中泄密了。当约定通信者在网上传输信息时，发送者使用接收者的公钥对文件或消息进行加密，接收者收到密文后使用自己的私钥对其进行解密。

每个用户可以到指定的CA数字证书中心取得两个密钥证书。CA中心是对用户进行登记、对密钥进行产生、分发和管理的一个机构。它利用密钥生成方法输出用户的一对公钥与私钥。

本加密方法可以用逻辑电路芯片或程序语言来实现，它包括三部分：①根据3.2.2节的密钥生成方法开发出芯片或软件，由CA中心使用；②根据3.2.3节的加密方法开发出芯片或软件，由加密用户使用；③根据3.2.4节的解密方法开发出芯片或软件，由解密用户使用。

Claims (1)

1.一种基于多变量与不确定性的公钥加密方法，由密钥生成、加密和解密三个部分组成，密钥生成部分供第三方权威机构使用，以便产生用户的一对私钥与公钥，加密部分供发送方使用，通过接收方的公钥把明文转换为密文，解密部分供接收方使用，通过自己的私钥把密文还原成明文，其特征在于

·密钥生成部分采用了下列步骤：

1)随机产生奇互素序列

2)寻找一个素数

使得

其中k满足

和

3)生成 $<l\left(1\right),l\left(2\right),l\left(3\right)>,...,<l(\tilde{n}-2),l(\tilde{n}-1),l\left(\tilde{n}\right)>\&Element;\mathrm{\&Omega;}$

且两两不同

4)随机选取

使得||W||≥2^n-30，

和 $\log ({\mathrm{\&delta;}}^{-1}\%\stackrel{\&OverBar;}{M})\&ap;\log (W^{-1}\%M)\&ap;\log W\&ap;n$

5)计算

对

最后，以({C_i}、M)为公钥，以

为私钥，且私钥只能由用户私自拥有；

·加密部分采用了下列步骤：

发送方以接收方的公钥({C_i}、M)作为加密密钥，针对n比特的明文分组B₁...B_n/2做

(1)置C₀←1，k←0，i←1

(2)若B_i＝00，令k←k+1，B _i←0，否则B _i←k+1，k←0

(3)令i←i+1，

若i≤n/2，转到(2)

(4)若k≠0，令r←n/2-k，B _r←B _r+k

(5)计算 $\stackrel{\&OverBar;}{G}\&LeftArrow;{\mathrm{\&Pi;}}_{i=1}^{n/2}{\left(C_{3(i-1)+B_i}\right)}^{{\underset{\&OverBar;}{B}}_i}\%M$

最后，得到密文

它将被发送给接收方；

·解密部分采用了下列步骤：

接收方以自己的私钥

作为解密密钥并针对密文

做

①计算

置Z₁←Z₀，h←0

②若

或2|Zh，计算

转至②

③置G←Z_h，

B₁...B_n/2←0，i←1，j←0，k←0

④如果(A_3i-j)^k+1|G，

计算G←G/(A_3i-j)^k+1，B_i←3-j，k←0，

否则

令j←j+1，

若j≤2，转到④，否则k←k+1

⑤令i←i+1，

若i≤n/2且G≠1，置j←0，转至④

⑥令r←n/2-k，

若k≠0且计算

⑦若G≠1，计算

转至②，否则，结束

最后，接收方恢复出发送方的原始明文B₁...B_n/2，即b₁...b_n。