CN103501226A - 一种改进的多变量公钥签名方案 - Google Patents

Abstract

一种改进的多变量公钥签名方案，涉及数字签名领域。本发明对Huang等人在文章“An Improved MFE Scheme Resistant against SOLE Attacks”中提出的方案，利用增加中心映射次数的方法，对该方案中的中心映射进行了重新设计，并相应修改了签名过程，使得改进后的方案能够抵抗二阶线性化方程攻击，秩攻击和

Description

一种改进的多变量公钥签名方案

技术领域

本发明涉及数字签名领域，具体来讲是一种改进的多变量公钥签名方案。

背景技术

近年来，公钥密码体制得到了迅猛的发展，涌现了RSA等一批基于大整数分解和ECC等基于离散对数问题的公钥密码体制。

在文献“Polynomial-time Algorithms for Prime Factorization andDiscrete Logarithms on a Quantum Computer”提出了一种攻击方法，利用量子计算机在多项式时间内解决整数分解和离散对数问题。这给密码学研究人员提出了一个新问题：如何构造新的公钥密码体制，使其能抵御未来基于量子计算机的攻击方法。多变量公钥密码体制被认为是能抵御未来基于量子计算机攻击的几种公钥密码体制之一,其安全性是基于有限域上求解多变量多项式方程组（MQ)困难性问题。该体制具有较高的效率和安全性,且易于硬件实现,因此被认作量子计算机时代一种安全的密码体制和数字签名备选方案。

Garay M和Johnson D在文章Computers and intractability-a guideto the theory of NP-Completeness提出了一种Medium-Field型（MFE）的多变量公钥加密方案。与其他的多变量公钥密码加密方案相比，MFE加密方案的优点如下：(1)MFE方案从“小域”到“大域”的扩张次数非常少，使公钥长度和计算复杂度大大降低。这也是MediumField的由来。(2)MFE方案的中心映射采用类似Tame映射的形式，使密钥的生成更高效。

在PKC2007会议上,Ding等人利用MFE中心映射对应的矩阵形式所具有的特殊代数结构,推导出一组二阶线性化方程,使得在唯密文攻击下,可通过解方程攻破该方案。

随后出现了诸多对MFE的改进方案，但这些方案大都被攻破了。

Huang等人在文章“An Improved MFE Scheme Resistant againstSOLE Attacks”中提出了一种MFE的改进方案，但该方案并不能抵抗一阶线性化方程攻击及二阶线性化方程的攻击，该改进方案并没有增强MFE体制的安全性。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种改进的多变量公钥签名方案，该改进的多变量公钥签名方案能够抵抗二阶线性化方程攻击、秩攻击和

基攻击。

为达到以上目的，本发明采取的技术方案是一种改进的多变量公钥密码签名方案，包括中心映射的改进与签名两个步骤。

在上述方案的基础上，所述中心映射的改进步骤包括：

101.重新设计中心映射的过程：

1011.首先增添4个新变量X′₁，X′₂，X′₃，X′₄，在X₁,…,X₁₂中随机选4个不同的变量

然后将它们写成以下形式的组合：

$(X_{i_1}+{\mathrm{\δ}}_1)X_1^{\′},(X_{i_2}+{\mathrm{\δ}}_2)X_2^{\′},(X_{i_3}+{\mathrm{\δ}}_3)X_3^{\′},(X_{i_4}+{\mathrm{\δ}}_4)X_4^{\′},$

其中参数δ₁,…,δ₄∈L，再将这4个二次项的线性组合添加为中心映射的外部扰动；

1012.设K是特征为2的有限域，L是其r次扩域，π:L→K^r，π₁:L¹⁶→K^16r，π₂:L¹¹→K^11r是K-线性同构，令：

$W_i={\mathrm{\α}}_i(X_{i_1}+{\mathrm{\δ}}_1)X_1^{\′}+{\mathrm{\β}}_i(X_{i_2}+{\mathrm{\δ}}_2)X_2^{\′}+{\mathrm{\γ}}_i(X_{i_3}+{\mathrm{\δ}}_3)X_3^{\′}+{\mathrm{\λ}}_i(X_{i_4}+{\mathrm{\δ}}_4)X_4^{\′},$

其中α_i,β_i,γ_i,λ_i,δ_j∈L，1≤i≤11，1≤j≤4；

1013.重新设计中心映射

L¹⁶→L¹¹，形式如下：

$\left\{\begin{array}{c}{Y}_1=X_1+X_5{X}_8+X_6{X}_7+Q_1+W_1\\ Y_2=X_2+X_9{X}_{12}+X_{10}{X}_{11}+Q_2+W_2\\ Y_3=X_3+X_1{X}_4+X_2{X}_3+Q_3+W_3\\ Y_4=X_1{X}_8+X_2{X}_7+W_4;Y_5=X_1{X}_6+X_2{X}_5+W_5\\ Y_6=X_3{X}_8+X_4{X}_7+W_6;Y_7=X_3{X}_6+X_4{X}_5+W_7\\ Y_8=X_4{X}_9+X_2{X}_{11}+W_8;Y_9=X_4{X}_{10}+X_2{X}_{12}+W_9\\ Y_{10}=X_3{X}_9+X_1{X}_{11}+W_{10};Y_{11}=X_3{X}_{10}+X_1{X}_{12}+W_{11}\end{array}\right.,$

设：

$M_1=\left[\begin{array}{cc}{X}_1& X_2\\ X_3& X_4\end{array}\right],M_2=\left[\begin{array}{cc}{X}_5& X_6\\ X_7& X_8\end{array}\right],M_3=\left[\begin{array}{cc}{X}_9& X_{10}\\ X_{11}& X_{12}\end{array}\right],$

${\tilde{Z}}_3=M_1{M}_2^{*}=\left[\begin{array}{cc}{Y}_4+W_4& Y_5+W_5\\ Y_6+W_6& Y_7+W_7\end{array}\right]$

${\tilde{Z}}_2=M_1^{*}{M}_3=\left[\begin{array}{cc}{Y}_8+W_8& Y_9+W_9\\ Y_{10}+W_{10}& Y_{11}+W_{11}\end{array}\right],$

从而有：

$\left\{\begin{array}{c}\det \left(M_1\right)\det \left(M_2\right)=\det \left({\tilde{Z}}_3\right)\\ \det \left(M_1\right)\det \left(M_3\right)=\det \left({\tilde{Z}}_2\right)\end{array}\right.;$

102.中心映射

的求逆过程：

1021.随机指定：

$(X_{i_1}+{\mathrm{\δ}}_1)X_1^{\′},(X_{i_2}+{\mathrm{\δ}}_2)X_2^{\′},(X_{i_3}+{\mathrm{\δ}}_3)X_3^{\′},(X_{i_4}+{\mathrm{\δ}}_4)X_4^{\′}$

的值，使得它们都是非零值，计算W₁,…,W₁₁，如果

等于0，则返回到步骤1021；

1022.随机选择a，a∈L/{0}，令det(M₂)=a，计算det(M₁)、det(M₃)的值， $\det \left(M_1\right)=\det \left({\tilde{Z}}_3\right)/\det \left(M_2\right),\det \left(M_3\right)=\det \left({\tilde{Z}}_2\right)/\det \left(M_1\right);$

1023.在域K^3r上求解下面的三角映射:

Y₁=X₁+det(M₂)+Q₁+W₁

Y₂=X₂+det(M₃)+Q₂+W₂

Y₃=X₃+det(M₁)+Q₃+W₃，

恢复出X₁，X₂和X₃,如果X₁=0，则返回到步骤1022；

1024.如果X₁≠0，从det(M₁)=X₁X₄+X₂X₃中求出X₄，然后，求解中心映射方程组中其余的方程获得X₅,…,X₁₂；

1025.通过已知的

和计算出X′₁，X′₂，X′₃，X′₄。

在上述方案的基础上，所述签名包括以下步骤：

201.公私钥的选取：私钥由可逆仿射变换S,T,系数α_i,β_i,γ_i,λ_i,δ_j(1≤i≤11,1≤j≤4)以及i₁,…,i₄组成，公钥由11r个多变量二次多项式f₁(u₁,…,u_16r),…,f_11r(u₁,…,u_16r)组成，其中：

202.签名过程：设H是哈希函数，给定消息M，首先计算消息M的哈希值H(M)=(v₁,…,v_11r)，然后通过执行以下步骤对消息签名：

2021.首先计算

2022.然后计算 $(X_1,\·\·\·,X_{12},X_1^{\′},X_2^{\′},X_3^{\′},X_4^{\′})={\tilde{F}}^{-1}(Y_1,\·\·\·,Y_{11});$

2023.最后计算(u₁,…,u_16r)=S^-1οπ₁(X₁,…,X₁₂,X′₁,X′₂,X′₃,X′₄)，其中(u₁,…,u_16r)就是消息M的签名；

203.验证过程：

首先，计算消息M的哈希值H(M)=(v₁,…,v_11r)；然后将签名(u₁,…,u_16r)的值代入到公钥多项式：

得到一组输出(v′₁,…,v′_11r)，如果(v′₁,…,v′_11r)等于(v₁,…,v_11r)，则验证了签名是有效的，否则签名无效。

本发明的有益效果在于：本发明对Huang等人在文章“AnImproved MFE Scheme Resistant against SOLE Attacks”中提出的方案，利用增加中心映射次数的方法，对该方案中的中心映射进行了重新设计,并相应修改了签名过程，使得改进后的方案能够抵抗二阶线性化方程攻击，秩攻击和基攻击。

具体实施方式

本发明所应用的数学理论及技术术语说明如下：

公钥加密：由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。它解决了密钥的发布和管理问题，是目前商业密码的核心。在公钥加密体制中，没有公开的是明文，公开的是密文。

多变量公钥加密：多变量公钥密码体制被认为是能抵御未来基于量子计算机攻击的几种公钥密码体制之一,其安全性是基于有限域上求解多变量多项式方程组为NP-C问题。该体制具有较高的效率和安全性,且易于硬件实现,因此被认作量子计算机时代一种安全的密码体制和数字签名备选方案。

秩攻击：秩攻击是将二次多变量公钥多项式的系数写成矩阵形式，结合中心映射的构造以及矩阵的秩(奇异性)进行密码分析。秩攻击可分为三种类型，分别是低秩攻击，高秩攻击和分离Oil变量和Vinegar变量攻击。

基算法：求解一族多变量方程组的经典算法是构造

基利用Buchberger算法来解决。该算法是将单项式按一定次序进行排序，然后根据两个方程的适当多项式系数合并来约去最高位的单项式，重复这一过程进行消元，直到最后一个变量。然而不断地进行该消项过程，剩余单项式的次数也将急速增长。

哈希函数:Hash，一般翻译做"散列"，也有直接音译为"哈希"的，就是把任意长度的输入，通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

数字签名：数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。

本发明对Huang等人在文章“An Improved MFE Scheme Resistantagainst SOLE Attacks”中提出的方案，利用增加中心映射次数的方法，对该方案中的中心映射进行了重新设计,并且由于中心映射的改进而对签名做了一些参数与算法的改进，该改进方案包括以下步骤：

1.中心映射的改进:

1011.首先增添4个新变量X′₁，X′₂，X′₃，X′₄，在X₁,…,X₁₂中随机选4个不同的变量然后将它们写成以下形式的组合：

$(X_{i_1}+{\mathrm{\δ}}_1)X_1^{\′},(X_{i_2}+{\mathrm{\δ}}_2)X_2^{\′},(X_{i_3}+{\mathrm{\δ}}_3)X_3^{\′},(X_{i_4}+{\mathrm{\δ}}_4)X_4^{\′},$

其中参数δ₁,…,δ₄∈L，再将这4个二次项的线性组合添加为中心映射的外部扰动；

1012.设K是特征为2的有限域，L是其r次扩域，π:L→K^r，π₁:L¹⁶→K^16r，π₂:L¹¹→K^11r是K-线性同构，令：

$W_i={\mathrm{\α}}_i(X_{i_1}+{\mathrm{\δ}}_1)X_1^{\′}+{\mathrm{\β}}_i(X_{i_2}+{\mathrm{\δ}}_2)X_2^{\′}+{\mathrm{\γ}}_i(X_{i_3}+{\mathrm{\δ}}_3)X_3^{\′}+{\mathrm{\λ}}_i(X_{i_4}+{\mathrm{\δ}}_4)X_4^{\′},$

其中α_i,β_i,γ_i,λ_i,δ_j∈L，1≤i≤11，1≤j≤4；

1013.重新设计中心映射

L¹⁶→L¹¹，形式如下：

$\left\{\begin{array}{c}{Y}_1=X_1+X_5{X}_8+X_6{X}_7+Q_1+W_1\\ Y_2=X_2+X_9{X}_{12}+X_{10}{X}_{11}+Q_2+W_2\\ Y_3=X_3+X_1{X}_4+X_2{X}_3+Q_3+W_3\\ Y_4=X_1{X}_8+X_2{X}_7+W_4;Y_5=X_1{X}_6+X_2{X}_5+W_5\\ Y_6=X_3{X}_8+X_4{X}_7+W_6;Y_7=X_3{X}_6+X_4{X}_5+W_7\\ Y_8=X_4{X}_9+X_2{X}_{11}+W_8;Y_9=X_4{X}_{10}+X_2{X}_{12}+W_9\\ Y_{10}=X_3{X}_9+X_1{X}_{11}+W_{10};Y_{11}=X_3{X}_{10}+X_1{X}_{12}+W_{11}\end{array}\right.,$

设：

$M_1=\left[\begin{array}{cc}{X}_1& X_2\\ X_3& X_4\end{array}\right],M_2=\left[\begin{array}{cc}{X}_5& X_6\\ X_7& X_8\end{array}\right],M_3=\left[\begin{array}{cc}{X}_9& X_{10}\\ X_{11}& X_{12}\end{array}\right],$

${\tilde{Z}}_3=M_1{M}_2^{*}=\left[\begin{array}{cc}{Y}_4+W_4& Y_5+W_5\\ Y_6+W_6& Y_7+W_7\end{array}\right]$

${\tilde{Z}}_2=M_1^{*}{M}_3=\left[\begin{array}{cc}{Y}_8+W_8& Y_9+W_9\\ Y_{10}+W_{10}& Y_{11}+W_{11}\end{array}\right],$

从而有：

$\left\{\begin{array}{c}\det \left(M_1\right)\det \left(M_2\right)=\det \left({\tilde{Z}}_3\right)\\ \det \left(M_1\right)\det \left(M_3\right)=\det \left({\tilde{Z}}_2\right)\end{array}\right.;$

102.中心映射

的求逆过程：

1021.随机指定：

$(X_{i_1}+{\mathrm{\δ}}_1)X_1^{\′},(X_{i_2}+{\mathrm{\δ}}_2)X_2^{\′},(X_{i_3}+{\mathrm{\δ}}_3)X_3^{\′},(X_{i_4}+{\mathrm{\δ}}_4)X_4^{\′}$

的值，使得它们都是非零值，计算W₁,…,W₁₁，如果

等于0，则返回到步骤1021；

1022.随机选择a，a∈L/{0}，令det(M₂)=a，计算det(M₁)、det(M₃)的值， $\det \left(M_1\right)=\det \left({\tilde{Z}}_3\right)/\det \left(M_2\right),\det \left(M_3\right)=\det \left({\tilde{Z}}_2\right)/\det \left(M_1\right);$

1023.在域K^3r上求解下面的三角映射:

Y₁=X₁+det(M₂)+Q₁+W₁

Y₂=X₂+det(M₃)+Q₂+W₂

Y₃=X₃+det(M₁)+Q₃+W₃，

恢复出X₁，X₂和X₃,如果X₁=0，则返回到步骤1022；

1024.如果X₁≠0，从det(M₁)=X₁X₄+X₂X₃中求出X₄，然后，求解中心映射方程组中其余的方程获得X₅,…,X₁₂；

1025.通过已知的

和

计算出X′₁，X′₂，X′₃，X′₄。

2.签名：

201.公私钥的选取：私钥由可逆仿射变换S,T,系数α_i,β_i,γ_i,λ_i,δ_j(1≤i≤11,1≤j≤4)以及i₁,…,i₄组成，公钥由11r个多变量二次多项式f₁(u₁,…,u_16r),…,f_11r(u₁,…,u_16r)组成，其中：

202.签名过程：设H是哈希函数，给定消息M，首先计算消息M的哈希值H(M)=(v₁,…,v_11r)，然后通过执行以下步骤对消息签名：

2021.首先计算

2022.然后计算 $(X_1,\·\·\·,X_{12},X_1^{\′},X_2^{\′},X_3^{\′},X_4^{\′})={\tilde{F}}^{-1}(Y_1,\·\·\·,Y_{11});$

2023.最后计算(u₁,…,u_16r)=S^-1οπ₁(X₁,…,X₁₂,X′₁,X′₂,X′₃,X′₄)，其中(u₁,…,u_16r)就是消息M的签名；

203.验证过程：

首先，计算消息M的哈希值H(M)=(v₁,…,v_11r)；然后将签名(u₁,…,u_16r)的值代入到公钥多项式：

得到一组输出(v′₁,…,v′_11r)，如果(v′₁,…,v′_11r)等于(v₁,…,v_11r)，则验证了签名是有效的，否则签名无效。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (3)

1.一种改进的多变量公钥密码签名方案，其特征在于包括中心映射的改进与签名两个步骤。

2.如权利要求1所述的一种改进的多变量公钥密码签名方案，其特征在于：所述中心映射的改进步骤包括：

101.重新设计中心映射的过程：

1011.首先增添4个新变量X′₁，X′₂，X′₃，X′₄，在X₁,…,X₁₂中随机选4个不同的变量

然后将它们写成以下形式的组合：

$(X_{i_1}+{\mathrm{\δ}}_1)X_1^{\′},(X_{i_2}+{\mathrm{\δ}}_2)X_2^{\′},(X_{i_3}+{\mathrm{\δ}}_3)X_3^{\′},(X_{i_4}+{\mathrm{\δ}}_4)X_4^{\′},$

其中参数δ₁,…,δ₄∈L，再将这4个二次项的线性组合添加为中心映射的外部扰动；

1012.设K是特征为2的有限域，L是其r次扩域，π:L→K^r，π₁:L¹⁶→K^16r，π₂:L¹¹→K^11r是K-线性同构，令：

$W_i={\mathrm{\α}}_i(X_{i_1}+{\mathrm{\δ}}_1)X_1^{\′}+{\mathrm{\β}}_i(X_{i_2}+{\mathrm{\δ}}_2)X_2^{\′}+{\mathrm{\γ}}_i(X_{i_3}+{\mathrm{\δ}}_3)X_3^{\′}+{\mathrm{\λ}}_i(X_{i_4}+{\mathrm{\δ}}_4)X_4^{\′},$

其中α_i,β_i,γ_i,λ_i,δ_j∈L，1≤i≤11，1≤j≤4；

1013.重新设计中心映射

L¹⁶→L¹¹，形式如下：

$\left\{\begin{array}{c}{Y}_1=X_1+X_5{X}_8+X_6{X}_7+Q_1+W_1\\ Y_2=X_2+X_9{X}_{12}+X_{10}{X}_{11}+Q_2+W_2\\ Y_3=X_3+X_1{X}_4+X_2{X}_3+Q_3+W_3\\ Y_4=X_1{X}_8+X_2{X}_7+W_4;Y_5=X_1{X}_6+X_2{X}_5+W_5\\ Y_6=X_3{X}_8+X_4{X}_7+W_6;Y_7=X_3{X}_6+X_4{X}_5+W_7\\ Y_8=X_4{X}_9+X_2{X}_{11}+W_8;Y_9=X_4{X}_{10}+X_2{X}_{12}+W_9\\ Y_{10}=X_3{X}_9+X_1{X}_{11}+W_{10};Y_{11}=X_3{X}_{10}+X_1{X}_{12}+W_{11}\end{array}\right.,$

设：

$M_1=\left[\begin{array}{cc}{X}_1& X_2\\ X_3& X_4\end{array}\right],M_2=\left[\begin{array}{cc}{X}_5& X_6\\ X_7& X_8\end{array}\right],M_3=\left[\begin{array}{cc}{X}_9& X_{10}\\ X_{11}& X_{12}\end{array}\right],$

${\tilde{Z}}_3=M_1{M}_2^{*}=\left[\begin{array}{cc}{Y}_4+W_4& Y_5+W_5\\ Y_6+W_6& Y_7+W_7\end{array}\right]$

${\tilde{Z}}_2=M_1^{*}{M}_3=\left[\begin{array}{cc}{Y}_8+W_8& Y_9+W_9\\ Y_{10}+W_{10}& Y_{11}+W_{11}\end{array}\right],$

从而有

$\left\{\begin{array}{c}\det \left(M_1\right)\det \left(M_2\right)=\det \left({\tilde{Z}}_3\right)\\ \det \left(M_1\right)\det \left(M_3\right)=\det \left({\tilde{Z}}_2\right)\end{array}\right.;$

102.中心映射

的求逆过程：

1021.随机指定：

$(X_{i_1}+{\mathrm{\δ}}_1)X_1^{\′},(X_{i_2}+{\mathrm{\δ}}_2)X_2^{\′},(X_{i_3}+{\mathrm{\δ}}_3)X_3^{\′},(X_{i_4}+{\mathrm{\δ}}_4)X_4^{\′}$

的值，使得它们都是非零值，计算W₁,…,W₁₁，如果

等于0，则返回到步骤1021；

1022.随机选择a，a∈L/{0}，令det(M₂)=a，计算det(M₁)、det(M₃)的值， $\det \left(M_1\right)=\det \left({\tilde{Z}}_3\right)/\det \left(M_2\right),$ $\det \left(M_3\right)=\det \left({\tilde{Z}}_2\right)/\det \left(M_1\right);$

1023.在域K^3r上求解下面的三角映射:

Y₁=X₁+det(M₂)+Q₁+W₁

Y₂=X₂+det(M₃)+Q₂+W₂

Y₃=X₃+det(M₁)+Q₃+W₃，

恢复出X₁，X₂和X₃,如果X₁=0，则返回到步骤1022；

1024.如果X₁≠0，从det(M₁)=X₁X₄+X₂X₃中求出X₄，然后，求解中心映射方程组中其余的方程获得X₅,…,X₁₂；

1025.通过已知的

和

计算出X′₁，X′₂，X′₃，X′₄。

3.如权利要求1所述的一种改进的多变量公钥密码签名方案，其特征在于：所述签名包括以下步骤：

201.公私钥的选取：私钥由可逆仿射变换S,T,系数α_i,β_i,γ_i,λ_i,δ_j(1≤i≤11,1≤j≤4)以及i₁,…,i₄组成，公钥由11r个多变量二次多项式f₁(u₁,…,u_16r),…,f_11r(u₁,…,u_16r)组成，其中：

202.签名过程：设H是哈希函数，给定消息M，首先计算消息M的哈希值H(M)=(v₁,…,v_11r)，然后通过执行以下步骤对消息签名：

2021.首先计算

2022.然后计算 $(X_1,\·\·\·,X_{12},X_1^{\′},X_2^{\′},X_3^{\′},X_4^{\′})={\tilde{F}}^{-1}(Y_1,\·\·\·,Y_{11});$

2023.最后计算(u₁,…,u_16r)=S^-1οπ₁(X₁,…,X₁₂,X′₁,X′₂,X′₃,X′₄)，其中(u₁,…,u_16r)就是消息M的签名；

203.验证过程：

首先，计算消息M的哈希值H(M)=(v₁,…,v_11r)；然后将签名(u₁,…,u_16r)的值代入到公钥多项式：

得到一组输出(v′₁,…,v′_11r)，如果(v′₁,…,v′_11r)等于(v₁,…,v_11r)，则验证了签名是有效的，否则签名无效。