CN102307102B - 一种基于超对数难题的轻量级数字签名方法 - Google Patents

Abstract

一种基于超对数难题的轻量级数字签名方法，属于密码技术和计算机技术领域；包括密钥生成、数字签名和身份验证三个部分；其发送方用户拥有两个密钥，即一个私钥和一个公钥，且从公钥不能推导出私钥；发送方的私钥用于生成消息的名鉴，发送方的公钥用于接收方验证相应消息的名鉴；该方法能有效抵御现有分析手段的攻击，具有模长小于96比特、计算速度快、技术可公开等特点，可用于手机、计算机和通信网络中任何消息的签名与验证，也可用于电子金融、电子商务、电子政务中的身份认证与内容确认，还可用于票据、证书和高档商品的防伪。

Description

一种基于超对数难题的轻量级数字签名方法

(一)技术领域

公开密钥数字签名方法(简称数字签名方法或数字签名方案)属于密码技术和计算机技术领域，是电子金融安全、电子商务安全、电子政务安全、信息安全、身份认证和可信计算的核心技术之一。

(二)背景技术

数字签名技术是密码技术的扩展。密码技术的发展经历了古典密码技术、对称密码技术和公钥密码技术三个阶段。1976年，美国学者Diffie和Hellman提出公钥密码的思想，标志着公钥密码技术的来临。目前，普遍使用的公钥密码技术有RSA和ElGamal等方案(参见《应用密码学》，美国BruceSchneier著，吴世忠、祝世雄等译，机械工业出版社，2000年1月，第334-342页)，它们既可用于数据加密，也可用于数字签名。为了缩短参数长度，ElGamal方案常在椭圆曲线上模拟实现，此时，它被称为ECC方案。另外，我国学者陶仁骥教授曾提出了FAPKC1、FAPKC3方案(参见《计算机学报》，1985(n11)，pp.401-409)。另外，本发明作者之一苏盛辉博士于2001年提出了REESSE1公钥加密与数字签名方案(参见《计算机工程与科学》，2003(n5)，pp.13-16)。

RSA和ElGamal等方案均是美国人发明的。它们的安全性分别基于大整数分解难题(IFP)和离散对数难题(DLP)，即在有限或有效的时间或空间内，对大整数进行因式分解或求离散对数几乎是不可能的。这是一种渐近安全。随着计算机运行速度的提高，它们的安全参数已变得越来越大，极大地增加了加解密系统和数字签名系统的运行时间。特别是将来量子计算机的出现，使得大数因式分解和离散对数求解可以在多项式时间内实现，这对RSA、ElGamal和ECC体制构成了本质威胁。

同时，由于种种原因，FAPKC3和REESSE1公钥体制在实践中并没有真正用起来。

(三)发明内容

数字签名技术用于电子金融、电子商务和电子政务中主客体身份的认证、传输内容的不可抵赖性和传输内容的防修改性，不仅可以在网络空间中使用，也可以在现实世界中使用。

本发明希望我们国家在轻量级公钥数字签名领域能够拥有自己的核心技术，以确保国家的信息安全、经济安全和主权安全，同时提高我国防范票据欺诈、证书欺诈、金融欺诈和商品欺诈的技术手段。

限于篇幅，本节内容略去了对有关性质和结论的证明，如果需要补上，我们将立即呈交。

在本文中，乘法运算“x×y”简写成“xy”，“％”代表求余运算，“gcd”代表最大公约数，“||x||”代表x％M的阶，代表M-1，“Ω”代表奇数集合{5，7，...，2n+3}，表示比特的求反，“≡(％M)”表示两边对M求余相等，“←％M”代表右边式子求余后赋给左边变量，表示任意选取，“∈”表示左边变量的值属于某个区间或集合，“x|y”表示x整除y，表示x不能整除y，表示取x的上整数，lgx表示x对2求对数，hash代表一单向散列函数。

3.1三个基本概念

令M为一正素数、n为一正整数、n为序列的长度。

3.1.1互素序列

定义1：假设A₁，...，A_n＞1是n个两两不同的整数，且满足gcd(A_i，A_j)＝1或者gcd(A_i，A_j)＝H≠1，而有和则称这些整数为一个互素序列，记为{A₁，...，A_n}，简记为{A_i}。

性质1：如果从{A₁，...，A_n}中随机选取m∈[1，n]个元素，构造一个子序列或子集{Ax₁，...，Ax_m}，那么，子集积

$G={\mathrm{\Π}}_{i=1}^m{\mathrm{Ax}}_i={\mathrm{Ax}}_1...{\mathrm{Ax}}_m$

被唯一地确定，即从G到{Ax₁，...，Ax_m}的映射是一对一的。

证明略。

3.1.2杠杆函数

定义2：对于素域上的公钥数字签名体制，密钥变换式中的参数l(i)被称为杠杆函数，如果它具有下列特性：

①l(.)是一个单射函数，其定义域为[1，n]，值域Ω为(1，M)的子集，这里n＜M；

②i和l(i)之间的映射被随机确定，且不存在任何显性的从l(.)到公钥的映射；

③当试图从公钥提取私钥时，任何敌手不得不考虑Ω中元素的所有排列；

④当解密或数字签名时，私钥拥有者只需考虑Ω中元素的累加和。

显然，{l(i)}是在“公开”一端计算量大，在“私有”一端计算量小，它正好起到了“杠杆”的作用。

性质2(l(.)的不确定性)：令C_i≡A_iW^l(i)(％M)(i＝1，...，n)，则 和附带z≠x、y，有

①当l(x)+l(y)＝l(z)时，有 $l\left(x\right)+\left|\right|W\left|\right|+l\left(y\right)+\left|\right|W\left|\right|\≠l\left(z\right)+\left|\right|W\left|\right|(\%\stackrel{\‾}{M});$

②当l(x)+l(y)≠l(z)时，总存在

C_x≡A′_xW′^l′(x)、C_y≡A′_yW′^l′(y)和C_z≡A′_zW′^l′(z)(％M)

满足且A′_z≤P，这里P是互素序列中被允许的最大素数。

证明略。

3.1.3超对数难题

定义3：已知y∈[1，M-1]，求x＜M满足同余方程y≡x^x(％M)被称为超对数难题(TranscendentalLogarithmProblem，TLP)。

性质3：TLP在计算难度上至少等价于同一素域中的DLP。

证明见AsymptoticGranularityReductionandItsApplication一文(TheoreticalComputerScience，vol.412(39)，Sep.2011，pp.5374-5386.ShenghuiSu，ShuwangLü，andXiubinFan)。

3.2本发明的技术方案

注意：在本文中，序列{A₁，...，A_n}有时简写成{A_i}，序列{C₁，...，C_n}有时简写成{C_i}，杠杆函数{l(1)，...，l(n)}有时简写成{l(i)}。

本发明是一种基于超对数难题的轻量级公钥数字签名方法，简称JUNA轻量级数字签名方法。

轻量级数字签名方法具有模数长度较短、计算量较少、运算速度较快、但安全性仍满足应用需求等特点。

根据该方法，可制造密钥生成芯片、数字签名芯片和身份验证芯片，或开发密钥生成软件、数字签名软件和身份验证软件等。因此，本发明是一种生产数字签名产品所必须遵循的基本原理与技术方案，而不是物理产品本身。

本技术方案，由密钥生成、数字签名和身份验证等三部分组成。

3.2.1数字签名与身份验证操作

本文中，把待签名的文件或数据叫消息，把签名输出叫签名码。

假设用户V欲通过网络向用户U发送一个自己签名的消息，并由U验证被签名的消息。V与U欲实现这么一个签名与验证构思，其过程如下：

密钥生成：首先，用户V去第三方权威机构，即CA证书中心(CertificateAuthentication)领取由密钥生成部件输出的一对私钥(PrivateKey)与公钥(PublicKey)，私钥必须由V自己保管，不得外泄；公钥则允许以公钥证书的形式向外界公开发放，以便于验证签名码时使用。

数字签名操作：用户V在数字签名部件上用自己的私钥对消息进行签名，得到签名码，并将签名码附在消息之后发送给用户U。

身份验证操作：用户U从CA认证中心获得用户V的公钥证书，在身份验证部件上用V的公钥对签名码进行验证，以确定它是否为V的签名码。

3.2.2轻量级密钥生成部分

在本方法中，每个A_i∈Λ＝{2，3，...，509＝P}(即有)，每个l(i)∈Ω＝{5，7，...，2n+3}。

密钥生成部分供CA中心使用，用来产生一对私钥和公钥，其实现步骤是：

输入序列项数n，互素正整数、T、

(1)随机产生互素序列{A₁，...，A_n}且每个

(2)找到一个素数M满足和

(3)随机选择S^-1为不小于5的整数且

随机选择W，δ∈(1，M)使得且

(4)随机产生l(1)，...，l(n)，每个l(i)∈Ω，且有l(i)≠l(j)

(5)计算 $\mathrm{\α}\←{\mathrm{\δ}}^{({\mathrm{\δ}}^n+\mathrm{\δ}{W}^{n-1})T}\%M,\mathrm{\β}\←{\mathrm{\δ}}^{W^{n}T}\%M,$

(6)计算序列{C₁，...，C_n}，这里C_i≡(A_iW^l(i))^δ(％M)(1≤i≤n)；

输出私钥公钥({C₁，...，C_n}，α，β)，共用参数(n，S，T，M)。

注意，从知，α也可以表示为

定义4：从C_i≡(A_iW^l(i))^δ(％M)寻找{A_i}、{l(i)}、W、δ被称为多变量排列难题(MultivariatePermutationProblem，MPP)。

性质4：MPP在计算难度上至少等价于同一素域中的DLP。

证明略。

3.2.3轻量级数字签名部分

该部分供发送方(即签名者)使用，用来对消息进行签名，其实现步骤是：

输入发送方私钥待签消息F，共用参数(n，S，T，M)；

(1)令H＝hash(F)，其二进制形式是b₁...b_n；

(2)置

(3)选择 $\stackrel{\‾}{a}\∈(1,\stackrel{\‾}{M})$ 使得和

其中，

(4)计算

(5)任选使得

其中

(6)若则转至(5)；

输出签名码(Q，U)，其可附在消息F后面发送给接收方。

注意，从知，Q也可以表示为

另外，可推知，在签名中，无需V≡(R^-1W^δG₁)^QUδ^λ(％M)，其中G₀ ^-1(％M)，λ满足

3.2.4轻量级身份验证部分

该部分供接收方(即验证者)使用，用来对签名码进行验证，其实现步骤是：

输入发送方公钥({C₁，...，C_n}，α，β)，消息F，签名码(Q，U)，共用参数(n，S，T，M)；

(1)令H←hash(F)，其二进制形式是b₁...b_n；

(2)计算 $\stackrel{\‾}{G}\←{\mathrm{\Π}}_{i=1}^n{C_i}^{b_i}\%M;$

(3)计算 $X\←{\left(\mathrm{\α}{Q}^{-1}\right)}^{\mathrm{QUT}}{\mathrm{\α}}^{Q^n}\%M,$

$Y\←{\left({\stackrel{\‾}{G}}^Q{U}^{-1}\right)}^{\mathrm{UST}}{\mathrm{\β}}^{(Q^{n-1}+\mathrm{US})H+H^n}\%M;$

(4)若X≡Y，则签名码有效且F未被修改，

否则，签名码无效或F在传输中已被修改.

其执行后，验证者能够鉴别签名码的真伪、防止签名者对消息的否认和抵御攻击者对消息的篡改。

定义5：已知{C₁，...，C_n}和从求b₁...b_n称为子集积难题((Modular)SubsetProductProblem，SPP)。

性质5：SPP在计算难度上至少等价于同一素域中的DLP。

证明见AsymptoticGranularityReductionandItsApplication一文(TheoreticalComputerScience，vol.412(39)，Sep.2011，pp.5374-5386.ShenghuiSu，ShuwangLü，andXiubinFan)。

3.2.5验证方法的正确性证明

我们需要证明：在验证方法中，有X≡Y(％M)成立。

从密钥生成方法知：

从数字签名方法知：

令V≡(R^-1W^δG₁)^QUδ^λ(％M).

因为λ满足

$\mathrm{\λS}\≡({\left(\mathrm{WQ}\right)}^{n-1}+{\mathrm{\Σ}}_{i=0}^{n-1}{\left(\mathrm{\δQ}\right)}^{n-1-i}{\left(\mathrm{WH}\right)}^i+(r+W^{n-1})\mathrm{US})(\mathrm{\δQ}+\mathrm{WH})(\%\stackrel{\‾}{M}),$

可令这里k是一个整数，那么

移项得：

两边T次方有

又

移项得：

两边S次方有：

根据(式1)和(式2)有

即

3.3优点和积极效果

3.3.1安全性高

私钥的安全性由性质4保证，签名码的不可伪造性由性质3保证。同时，到目前为止，求解MPP和TLP的亚指数时间算法尚没有被找到。

另外，由于是相当大的一个整数，因此，企图利用连分式方法攻击私钥也是不可行的(K.H.Rosen，ElementaryNumberTheoryandItsApplications(5thed.)，Addison-Wesley，Boston，2005)。

3.3.2模数长度非常短

从3.2节知，是非常短的。相应地，私钥也是较短的。分析表明，在同等安全条件下，ECC方案的模长需要160比特，RSA方案的模长需要1024比特。

3.3.3运算速度非常快

本方法的数字签名操作需要做大约个模乘运算，由于lgM较小，因此，签名操作能很快完成。

身份验证操作需要做大约O(n+lgM)个模乘运算，同样由于lgM较小，因此，验证操作也能很快完成。

3.3.4技术可以公开

本发明的实现技术完全可以公开，用户的公钥(PublicKey)也可以完全向外界公开发放。只要私钥(PrivateKey)不泄密，就可以完全保证私钥和签名码的安全。

3.3.5对国家安全有利

互联网是一种开放网，显而易见，在上面传输的各种信息必须进行加密和签名。

由于我国政府、国防、金融、税务等重要部门业已使用互联网作为通信工具，因此，信息安全关系到国家主权安全和经济安全。

从密码制衡的角度来讲，一个泱泱大国的信息安全不能建立在外来的密码或数字签名方案基础之上，因此，研究我们完全自主的、原始创新的公钥加密与数字签名方案显得势在必行、刻不容缓和具有重大意义。

(四)具体实施方式

基于超对数难题的轻量级数字签名方法的特点是它能够让每一用户得到两个密钥，一个密钥只能私人拥有，用于数字签名，一个密钥可以公开，用于身份验证。这样，验证不受时间、地点和保密政策的限制，变得非常方便了。当约定通信者在网上传输信息时，发送者使用自己的私钥对消息进行签名，接收者收到消息和签名码后使用发送者的公钥对其进行验证。

每个用户可以到指定的CA数字证书中心取得相应的密钥证书。CA中心是对用户进行登记、管理并对密钥进行产生、分发和控制的一个机构。它利用密钥生成部件输出主体用户的一对公钥与私钥，对客体用户只输出相关主体的公钥。

本数字签名方案可以用逻辑电路芯片或程序语言来实现，它包括三部分：①根据3.2.2节开发出用于密钥生成的芯片或软件模块，由CA中心使用；②根据3.2.3节开发出用于数字签名的芯片或软件模块，由签名用户使用；③根据3.2.4节开发出用于身份验证的芯片或软件模块，由验证用户使用。

Claims (1)

1.一种基于超对数难题的轻量级数字签名方法，由密钥生成、数字签名和身份验证三个部分组成，密钥生成部分用来生成发送方的一对私钥和公钥，数字签名部分供发送方使用自己的私钥对消息产生签名码，身份验证部分供接收方使用发送方的公钥来验证签名码，假设是两两互素的整数，M为一正素数，n为一正整数、且为序列的长度，是互素序列中被允许的最大素数，另外，“％”代表模运算，“gcd”代表最大公约数，“‖x‖”代表x％M的阶，代表M-1，“Ω”代表奇数集合{5，7，...，2n+3}，“-”表示比特的求反，“≡(％M)”表示两边对M求余相等，“←％M”代表右边式子求余后赋给左边变量，表示任意选取，“∈”表示左边变量的值属于某个区间或集合，“x|y”表示x整除y，表示x不能整除y，hash代表一单向散列函数，该方法的特征在于：

·密钥生成部分采用了下列步骤：

输入序列项数n，互素正整数

1)随机产生互素序列{A₁，...，A_n}且每个A_i≤，其中＝509；

2)找到一个素数M满足和

3)随机选择S^-1为不小于5的整数且

随机选择W，δ∈(1，M)使得且

4)随机产生l(1)，...，l(n)，每个l(i)∈Ω，且有l(i)≠l(j)；

5)计算 $\mathrm{\α}\←{\mathrm{\δ}}^{({\mathrm{\δ}}^n+{\mathrm{\δW}}^{n-1})T}\%M,\mathrm{\β}\←{\mathrm{\δ}}^{W^{n}T}\%M,$

6)计算序列{C₁，...，C_n}，这里C_i≡(A_iW^l(i))^δ(％M)(1≤i≤n)；

输出私钥({A₁，...，A_n}，{l(1)，...，l(n)}，公钥({C₁，...，C_n}，α，β，共用参数(n，S，T，M)；

·数字签名部分采用了下列步骤：

输入发送方私钥({A₁，...，A_n}，{l(1)，...，l(n)}，待签消息F，共用参数(n，S，T，M)；

(1)令H＝hash(F)，其二进制形式是b₁...b_n；

(2)置

(3)选择使得和

其中，

(4)计算

(5)任选使得

其中 $U=\stackrel{-}{U}\stackrel{-r}{g}(\%M);$

(6)若则转至(5)；

输出签名码(Q，U)，其可附在消息F后面发送给接收方；

·身份验证部分采用了下列步骤：

输入发送方公钥({C₁，...，C_n}，α，β)，消息F，签名码(Q，U)，共用参数(n，S，T，M)；

①令H←hash(F)，其二进制形式是b₁...b_n；

②计算 $\stackrel{-}{G}\←{\mathrm{\Π}}_{i=1}^n{C}_i^{b_i}\%M;$

③计算 $X\←{\left(\mathrm{\α}{Q}^{-1}\right)}^{\mathrm{QUT}}{\mathrm{\α}}^{Q^n}\%M,$

$Y\←{\left({\stackrel{-}{G}}^Q{U}^{-1}\right)}^{\mathrm{UST}}{\mathrm{\β}}^{(Q^{n-1}+\mathrm{US})H+H^n}\%M;$

④若X≡Y，则签名码有效且F未被修改，

否则，签名码无效或者F在传输中己被修改。