CN103516526B - 一种改进的tts方法 - Google Patents

Abstract

一种改进的TTS方案，涉及数字签名领域，本发明对2004年Yang和Chen的文章“Building secure tame‑like multivariate public‑key cryptosystems‑the new TTS”中TTS方案的中心映射进行了改进，并相应修改了数字签名过程，使得改进后的TTS方案能够有效的抵抗现有的攻击，尤其是丁津泰提出的组合而成的攻击。

Description

一种改进的TTS方法

技术领域

本发明涉及数字签名领域，具体来讲是一种改进的TTS方案。

背景技术

2002年Yang和Chen提出了一类新的数字签名体制TTS(Tame Transformation Signatures)。TTS多变量公钥密码体制是多变量公钥密码体制中的一类重要的密码原型，它是T.Moh在“A Public Key System with Signature and Master Key Functions”一文中的理论用于数字签名的一般化。

多变量公钥密码系统的性质主要取决于其中心映射。TTS在结构上结合了三角体制和油醋体制的优点，和一般的多变量公钥密码体制相比，在密钥量和计算效率上有明显的优势。

2004年Yang和Chen在文章“Building secure tame-like multivariate public-key cryptosystems-the new TTS”中给出了一个最新的方案，新方案被认为安全性和效率可以比得上Sflash，然而丁津泰等在文献“Multivariate public key cryptosystems”中给出了一种寻找不变子空间、低秩攻击及一些常用的攻击组合而成的攻击方法。

文章“Building secure tame-like multivariate public-key cryptosystems-the new TTS”中TTS方案的中心映射为：

F(x₀,x₁,...,x₂₇)＝(f₁,...,f₂₀)

从kⁿ→k^m，k是一个大小为的2⁸有限域，n＝28，m＝20。

F的分量表示如下：

$f_i=x_{i+7}+\underset{j=1}{\overset{7}{\mathrm{\Σ}}}{p}_{(i+7)j}{x}_j{x}_{8+(i+j+7\mathrm{mod}9)},i=1...9;$

f₁₀＝x₁₇+p_17,1x₁x₆+p_17,2x₂x₅+p_17,3x₃x₄+p_17,4x₉x₁₆+p_17,5x₁₀x₁₅

+p_17,6x₁₁x₁₄+p_17,7x₁₂x₁₃；

其中p_ij

$f_i=x_{i+7}+p_{i+7,0}{x}_{i-4}{x}_{i-2}+\underset{j=19}{\overset{i+7}{\mathrm{\Σ}}}{p}_{i+7,j-18}{x}_{2(i+7-j)}{x}_j+\underset{j=i+8}{\overset{27}{\mathrm{\Σ}}}{p}_{i+7,j-18}{x}_{i-j+26}{x}_j,$

i＝12...20.

是域k上随机选取的非零元素。

TTS多变量公钥密码体制的公钥映射为来自于：其中L₂是k²⁰上的可逆仿射变换，L₁是k²⁸上的可逆仿射变换。L₁，L₂生成私钥。

为了签名文件P＝(z₁,...,z₂₀)，需要找到下面方程的一个解：

$\stackrel{\‾}{F}(x_{0,}\mathrm{...},x_{27})=z$

通过F的三角类结构可以找到一个解。

通过F的分量公式，可以很清楚的看出f_i可以分为三个部分：

I.＝{f_i|i＝1,...,9}

II.＝{f_i|i＝10,11}

III.＝{f_i|i＝12,...,20}

首先，注意到第I部分的元素都是下面这种形式:

如果找到了这些元素的任意组合，它对应的二次型秩会是14。

其次，第II部分元素来自于一个De Jonquière结构,如果将第I部分的元素加入第II部分的元素中，得到的双线性形式的秩会增加但是秩不会超过16。

再次，注意到第III部分元素的二次部分都有以下形式：

当将任意的第III部分元素加到第I部分元素和第II部分元素的任意线性组合中，得到的对应的双线性形式的秩也会增加，所以所有f_i的一个随意的线性组合会生成一个非退化的二次型。

为了签名文件P，需要解方程:

为了解上述方程，首先解:

$F(x_{0,}\mathrm{...},x_{27})=L_2^{-1}\left(P\right)$

最后再复合

为了解通过式(1-1),首先随机选取x₁,...,x₇的值，这样可以通过第I部分的九个线性方程得到x₈,...,x₁₆的值。其次将x₁,...,x₁₆的值代入第II部分和第III部分。由于De Jonquière映射的三角结构，f₁₀是一个线性方程，可以得出x₁₇的值，再将x₁₇的值代入f₁₁得到一个线性方程求出x₁₈的值。再次将x₁₇和x₁₈的值代入第III部分，随机选取x₀的值，通过式(1-2)又可以得到九个线性方程得到x₁₉,...,x₂₇的值。最后，复合得到一个解，产生了一个有效的签名。由于该签名需要20字节哈希值和28字节的签名，所以这个TTS实例称作TTS(20,28)。

从上面可以看出为了伪造一个签名，首先需要知道怎样去找到方程 的一个解。

由于TTS也可以看成是Rainbow类的签名体制，所以Rainbow结构的缺陷TTS都具有，在经过不平衡油醋攻击分离油醋变量后，可以找到两个秩为三的多项式，然后利用低秩攻击找到了两个秩为三的矩阵H_i,i＝10,11，从而导致了方案被攻击成功，然而其本质是由于TTS方案中的中心映射的第III部分设计不合理造成的。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种改进的TTS方案，该方案能够有效的抵抗现有的攻击，尤其是丁津泰提出的组合而成的攻击。

为达到以上目的，本发明采取的技术方案是一种改进的TTS方案，包括中心映射F分量的改进和数字签名两个过程。

在上述方案的基础上，所述中心映射的改进包括构造交叉项破坏油变量所对应的向量空间及醋变量所对应的向量空间，且改进后的中心映射F分量表示如下：

$f_i=x_{i+7}+\underset{j=1}{\overset{7}{\mathrm{\Σ}}}{p}_{(i+7)j}{x}_j{x}_{8+(i+j+7\mathrm{mod}9)},i=1...9;$

f₁₀＝x₁₇+p_17,1x₁x₈+p_17,2x₂x₇+p_17,3x₃x₆+p_17,4x₄x₅+p_17,5x₉x₁₆

+p_17,6x₁₀x₁₅+p_17,7x₁₁x₁₄+p_17,7x₁₂x₁₃；

f₁₁＝x₁₈+p_18,1x₁x₈+p_18,2x₂x₇+p_18,3x₃x₆+p_18,4x₄x₅+p_18,5x₁₀x₁₇

+p_18,6x₁₁x₁₆+p_18,7x₁₂x₁₅+p_18,8x₁₃x₁₄；

$f_i=x_{i+7}+p_{i+7,0}{x}_{i-4}{x}_{i-2}+\underset{j=19}{\overset{i+7}{\mathrm{\Σ}}}{p}_{i+7,j-18}{x}_{2(i+7-j)}{x}_j+\underset{j=i+8}{\overset{27}{\mathrm{\Σ}}}{p}_{i+7,j-18}{x}_{i-j+32}{x}_j,$

i＝12...20.

在上述方案的基础上，所述数字签名过程包括秘钥生成、签名及验证三个步骤。

在上述方案的基础上，所述秘钥生成包括以下步骤：

101.设K是特征为2的有限域，在一个大小为2⁸的有限域k上，随机生成28×28的满秩矩阵A₁和20×20的满秩矩阵A₂；

102.随机选取k上的非零p_ij,i＝8,...,27,j＝0,...,9

和(a₀,a₁,...,a₂₇)∈k²⁸的值，并且记作：α＝(α₁,...,α₂₀)∈k²⁰，a＝(a₀,a₁,...,a₂₇)∈k²⁸；

103.计算然后计算α使得没有常数项；

104.将的系数作为公钥，将a，α和p_ij作为私钥。

在上述方案的基础上，所述签名包括以下步骤：

201.设M是要签名的文件，首先找到一个160-bit的哈希函 数H，令z＝H(M)；

202.选取私钥α，计算

203.把已计算出的f带入公式x＝F^-1(f)，从而计算出x；

204.利用私钥a以及x计算并发送(M,w)

在上述方案的基础上，所述验证包括以下步骤：

接收(M,w)，然后计算哈希值z＝H(M)和F(w)是否相等，若相等，则判断是合法的签名，验证成功；反之，则是非法的签名，验证失败。

本发明的有益效果在于：本发明对文章“Building secure tame-like multivariate public-key cryptosystems-the new TTS”中TTS方案的中心映射进行了改进，并相应修改了签名过程，使得改进后的TTS方案能够有效的抵抗现有的攻击，尤其是丁津泰提出的组合而成的攻击，而且和现有的几个多变量公钥密码体制相比，新方案的密钥生成、签名和验证都具有更高的效率。

具体实施方式

本发明所应用的数学理论及技术术语说明如下：

满秩矩阵：设A是n阶矩阵,若r(A)＝n,则称A为满秩矩阵。

哈希函数:Hash，一般翻译做"散列"，也有直接音译为"哈希"的，就是把任意长度的输入，通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

数字签名：数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。

本发明对Yang和Chen的文章“Building secure tame-like multivariate public-key cryptosystems-the new TTS”中TTS方案的中心映射进行了改进，并且由于中心映射的改进而对签名做了一些参数与算法的改进。该改进方案包括中心映射F分量的改进和数字签名两个过程。

所述中心映射的改进包括构造交叉项破坏油变量所对应的向量空间及醋变量所对应的向量空间，且改进后的中心映射F分量表示如下：

$f_i=x_{i+7}+\underset{j=1}{\overset{7}{\mathrm{\Σ}}}{p}_{(i+7)j}{x}_j{x}_{8+(i+j+7\mathrm{mod}9)},i=1...9;$

f₁₀＝x₁₇+p_17,1x₁x₈+p_17,2x₂x₇+p_17,3x₃x₆+p_17,4x₄x₅+p_17,5x₉x₁₆

+p_17,6x₁₀x₁₅+p_17,7x₁₁x₁₄+p_17,7x₁₂x₁₃；

f₁₁＝x₁₈+p_18,1x₁x₈+p_18,2x₂x₇+p_18,3x₃x₆+p_18,4x₄x₅+p_18,5x₁₀x₁₇

+p_18,6x₁₁x₁₆+p_18,7x₁₂x₁₅+p_18,8x₁₃x₁₄；

$f_i=x_{i+7}+p_{i+7,0}{x}_{i-4}{x}_{i-2}+\underset{j=19}{\overset{i+7}{\mathrm{\Σ}}}{p}_{i+7,j-18}{x}_{2(i+7-j)}{x}_j+\underset{j=i+8}{\overset{27}{\mathrm{\Σ}}}{p}_{i+7,j-18}{x}_{i-j+32}{x}_j,$

i＝12...20.

所述数字签名过程包括秘钥生成、签名及验证三个步骤。

所述秘钥生成包括以下步骤：

101.设K是特征为2的有限域，在一个大小为2⁸的有限域k上，随机生成28×28的满秩矩阵A₁和20×20的满秩矩阵A₂；

102.随机选取k上的非零p_ij,i＝8,...,27,j＝0,...,9

和(a₀,a₁,...,a₂₇)∈k²⁸的值，并且记作：α＝(α₁,...,α₂₀)∈k²⁰，a＝(a₀,a₁,...,a₂₇)∈k²⁸；

103.计算然后计算α使得没有常数项；

104.将的系数作为公钥，将a，α和p_ij作为私钥。

所述签名包括以下步骤：

201.设M是要签名的文件，首先找到一个160-bit的哈希函数H，令z＝H(M)；

202.选取私钥α，计算

203.把已计算出的f带入公式x＝F^-1(f)，从而计算出x；

204.利用私钥a以及x计算并发送(M,w)

所述验证包括以下步骤：

接收(M,w)，然后计算哈希值z＝H(M)和F(w)是否相等，若相等，则判断是合法的签名，验证成功；反之，则是非法的签名，验证失败。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (1)

1.一种改进的TTS方法，其特征在于：包括中心映射F分量的改进和数字签名两个过程；

所述中心映射的改进包括构造交叉项破坏油变量所对应的向量空间及醋变量所对应的向量空间，且改进后的中心映射F分量表示如下：

f₁₀＝x₁₇+p_17,1x₁x₈+p_17,2x₂x₇+p_17,3x₃x₆+p_17,4x₄x₅+p_17,5x₉x₁₆

+p_17,6x₁₀x₁₅+p_17,7x₁₁x₁₄+p_17,7x₁₂x₁₃；

f₁₁＝x₁₈+p_18,1x₁x₈+p_18,2x₂x₇+p_18,3x₃x₆+p_18,4x₄x₅+p_18,5x₁₀x₁₇

+p_18,6x₁₁x₁₆+p_18,7x₁₂x₁₅+p_18,8x₁₃x₁₄；

所述数字签名过程包括密钥生成、签名及验证三个步骤；

所述密钥生成包括以下步骤：

101.设K是特征为2的有限域，在一个大小为2⁸的有限域k上，随机生成28×28的满秩矩阵A₁和20×20的满秩矩阵A₂；

102.随机选取k上的非零p_ij,i＝8,...,27,j＝0,...,9

和(a₀,a₁,...,a₂₇)∈k²⁸的值，并且记作：α＝(α₁,...,α₂₀)∈k²⁰，a＝(a₀,a₁,...,a₂₇)∈k²⁸；

103.计算然后计算α使得没有常数项；

104.将的系数作为公钥，将a，α和p_ij作为私钥；

所述签名包括以下步骤：

201.设M是要签名的文件，首先找到一个160-bit的哈希函数H，令z＝H(M)；

202.选取私钥α，计算

203.把已计算出的f带入公式x＝F^-1(f)，从而计算出x；

204.利用私钥a以及x计算并发送(M,w)；

所述验证包括以下步骤：

接收(M,w)，然后计算哈希值z＝H(M)和F(w)是否相等，若相等，则判断是合法的签名，验证成功；反之，则是非法的签名，验证失败。