CN113225190A - 一种使用新难题的量子安全的数字签名方法 - Google Patents

Abstract

一种使用新难题的量子安全的数字签名方法，属于密码认证技术和计算机技术领域；包括双钥生成、数字签名和身份验证三个部件；每个注册用户拥有一对私钥与公钥，私钥自己保管不得外泄，公钥公开存于万物统一身份验证平台，且从公钥不能推导出私钥；发送方用自己的私钥对消息做签名并产生签名码，接收方收到被签消息后把消息摘要和签名码转送到万物统一身份验证平台做查验并得到“有效”或“无效”的返回结果；该方法不仅能抵御现有分析手段的攻击，而且也能抵御量子计算的攻击，具有模长短、签名码短、计算速度快、技术可公开等特点，既可以用于网络空间中数字物品的可信保障(即防伪防篡改防抵赖)，也可以用于现实世界中实际物品的可信保障。

Description

一种使用新难题的量子安全的数字签名方法

(一)技术领域

非对称数字签名方法(简称数字签名方法、数字签名方案或数字签名技术)属于密码认证技术和计算机技术领域，是物品可信保障和网络信息安全的关键核心技术之一，可广泛应用于电子金融、电子商务、电子政务等方面。

(二)背景技术

有别于手工签名或红泥印章是一种对称身份认证技术(注意本文只讨论物品的身份认证)，数字签名是一种非对称身份认证技术，是中国古典兵符技术的发展。最早的数字签名技术是R.L.Rivest、A.Shamir和L.M.Adleman三位学者于1978年提出的RSA方案[1]，它是普遍使用的技术之一。目前，还有一个普遍使用的数字签名技术，即椭圆曲线数字签名方案(简称 ECDSA方案)[2]。ECDSA方案是ElGamal方案在椭圆曲线上的模拟实现[3]。

另外，我国研究人员也提出了一些原创性的数字签名方案。例如，学者陶仁骥和陈世华于1985年提出了FAPKC签名方案[4]。又例如，学者苏盛辉于2001年提出了REESSE1数字签名方案[5]。再例如，学者苏盛辉和吕述望于2011年提出了REESSE1+数字签名方案[6]。

随着Shor量子算法和Shor扩展量子算法的提出[7][8]，特别是近年来量子计算技术的快速发展，基于大整数分解难题(即IFP)的RSA方案、基于离散对数难题(即DLP)的ElGamal 方案、基于椭圆离散对数难题(即ECDLP)的ECDSA方案等面临被破解的风险。因此，提出基于新单向难题或现有安全难题的新的数字签名方案很有必要，尤其，对于强烈追求创新驱动发展和高度重视网络信息安全的我们国家来讲，更有必要。

(三)发明内容

数字签名技术不仅用于网络空间中数字物品(例如，文本文件、图象文件、程序文件、数据文件、网页、网站等)的身份认证，以保障数字物品的可信(即防止数字物品被伪造、被篡改或被抵赖)，而且也用于现实世界中实际物品(例如，包装食品、药品、保健品、化妆品、工艺品、票证等)的身份认证，防止它们被伪造、被假冒或被抵赖。防被抵赖可扩展为可溯源。

本发明希望我们国家在物品身份认证领域能够拥有自己的核心技术，以确保国家的网络信息安全、经济安全和主权安全，同时提高我国防范金融欺诈、商品欺诈、电信欺诈、网络欺诈等的技术手段。特别需要指出的是，数字签名技术还是区块链应用的关键核心技术。

限于篇幅，本节内容略去了对有关定理和性质的证明，如果需要补上，我们将立即提交。

在本文中，“xy”表示两个数相乘，“％”表示模运算，“←”表示变量的赋值，“≡”表示两边对模数求余相等，“∈”表示变量值属于某个区间或集合，“x|y”表示x整除y，

表示x不能整除y，x^-1表示模逆元，gcd(x，y)代表最大公约数，||x||代表x％M的阶，

代表取x的上整数，lgx代表x以2为底的对数，

代表消息

的单向散列函数输出(即消息摘要)。

3.1五个基本概念

本文中，M为一素模数(在定义中为已知)、

表示M-1、

为M的比特长度，一般，本文所指整数均为正数，除非特别声明。

3.1.1超对数难题

定义1：给定y、

求x(＜M)满足同余方程y≡x^x(％M)或y≡(gx)^x(％M) 被称为超越对数难题(Transcendental Logarithm Problem，TLP)。

性质1：TLP在计算难度上至少等价于同一素域中的DLP。

证明：见[9].

历经11年的安全性公示表明，TLP目前只存在指数时间解[10]。

另外，TLP难题有一个扩展，即给定α、β、

从

求δ和W，它被称为TLP联立难题。

3.1.2多项式求根难题

定义2：给定正整数a₀、a_k以及不全为零的非负整数

从

a_kx^k+a_k-1x^k-1+...+a₀≡0(％M)(k≥5为常数)

求

被称为多项式求根难题(Polynomial Root Finding Problem，PRFP)。

令N＝pq，其中p、q为素数。当我们假设大数分解难题能在可容忍时间内被解决时，则多项式a_kx^k+a_k-1x^k-1+...+a₀≡0(％N)可归约为

a_kx^k+a_k-1x^k-1+...+a₀≡0(％p)，

a_kx^k+a_k-1x^k-1+...+a₀≡0(％q)

的求解，然后，再利用中国剩余定理，合成得到模N的解。因此，模一个素数的多项式方程是最为根本的。

实践表明，PRFP尚没有被发现有一般意义上的亚指数时间解，目前只存在指数时间解 [11][12][13]。

再给出一个概念：给定正整数a和c，从ax^k+c≡0(％M)或x^k≡c(％M)(k≥5为常数)求x 被称为求根问题(Root Finding Problem，RFP)。

性质2：给定正整数a、b、c和k(≥5)，则在“求反函数的难度与函数的增长率(即导数)成正比”的假定下，PRFP特型ax^k+bx^k-1+c≡0(％M)(附带a^-1b接近于M)在求解计算上要难于RFP问题ax^k+c≡0(％M)。

证明：见[9].

3.1.3消息、身份主体和数字身份

待签名的计算机类文档(含实物标签信息)、文件或数据块被称为消息。

利用自己的私钥对消息做数字签名的用户被称为签名者或身份主体。

通过数字签名部件得到的输出被称为签名码或(非对称)数字身份。

3.2本发明的技术方案

本发明是一种使用TLP难题和PRFP难题的非对称数字签名方法，由双钥生成、数字签名和身份验证三个部件组成。

根据该方法，可制造双钥生成芯片、数字签名芯片和身份验证芯片，或开发双钥生成软件、数字签名软件和身份验证软件。因此，本发明是一种生产数字签名产品所必须遵循的基本原理与技术方案，而不是物理产品本身。

3.2.1数字签名与身份验证操作

假设

和

均是万物统一身份验证平台注册用户，

欲通过网络向

发送一被己签名消息

接收

后通过前述平台查验签名码。

和

实现这么一个构想，可以采用如下过程：

双钥生成操作：首先，用户

通过双钥生成部件输出自己的一对私钥与公钥(即Private Key 与Public Key)，私钥必须由

自己保管，不得外泄，公钥则被允许公开放置到万物统一身份验证平台，以便其他人能够验证

的签名码。

数字签名操作：用户

利用自己的私钥通过数字签名部件对消息

进行签名，得到一个签名码，并将签名码绑定于消息(例如置于文件名处)一起发送给用户

身份验证操作：用户

收到消息

和签名码后，从

提取出消息摘要，并把消息摘要和签名码发送到万物统一身份验证平台进行查验，平台返回“有效”或“无效”的结果到

以使

能够确定签名码是否为

所签或消息是否被中途修改。

3.2.2双钥生成部件

该部件供注册用户(或身份主体)使用，用来产生一对私钥与公钥，其实现方法是：

1)输入模数比特长度m(＝80、96、112、128等)；

2)选取互素整数

满足

以及

其中

为素数；

3)找到一个素数M使得

和

4)任选

使得

和

为小整数；

5)任选W＜M满足

和

任选

满足

和

6)计算

其中，

为素数且有

末尾，输出私钥

公钥

私钥必须注册用户自己保管、不得外泄，公钥被附加用户编号后公开地上传到万物统一身份验证平台进行保存。

3.2.3数字签名部件

该部件供消息发送方(即签名者)使用，用来对消息

进行签名以产生签名码，其实现方法是：

(1)输入自己的私钥

和待签消息

(2)令

(3)任选

使得

和

其中

(4)计算

(5)任选

使得

和

计算

(6)若

则转至(5)；

末尾，输出签名码<Q，U>，其被附加签名者用户编号后绑定于消息

发送给接收方。

3.2.4身份验证部件

接收方收到消息

和签名码(附签名者用户编号)后，转送消息摘要和签名码到万物统一身份验证平台。身份验证部件供万物统一身份验证平台使用，用来对接收方远程提供的消息摘要和签名码(附签名者用户编号)进行查验，并返回“有效”或“无效”的结果，其实现方法是：

①输入

和签名码(Q，U>，

根据签名者用户编号找到相应公钥

②计算

③计算

④若μ≠v且X≡Y，则表明签名为真且

未被修改，

否则，签名为假或者

已被修改；

末尾，输出并返回“有效”或“无效”的结果到接收方。

通过调用此部件和依据返回结果，接收方能够判断一个签名是否有效，以防止他人对签名者的假冒、签名者自身对消息的否认，并防止传输过程中他人对消息的伪造和篡改。

3.2.5方法的正确性证明

在正确性证明之前，我们先介绍非线性双同余定理。

定理1(非线性双同余定理，Non-linear Double Congruence Theorem)：假设M是一个素数，

和

是两个整常数且满足

那么，同余方程组

有唯一解当且仅当

证明：见[6]。

下面对方法的正确性进行证明。

定理2：在验证部件中，必有X≡Y即

成立，其中，(Q，U>为签名码、

为公钥。

证明：

从双钥生成部件知：

和

从数字签名部件知：

和

令

其中，λ满足

从上式知

进而可令

这里k(≥1)是一个正整数。于是

移项得

据此，有

又

移项得

据此，有

分别由

和

得到，依照双同余定理(V有唯一解条件)，存在

即

3.2.6抗量子计算的分析

Shor量子算法及其扩展量子算法(即Proos-Zalka量子算法)的出现使得IFP难题、DLP难题和ECDLP难题均可以在量子多项式时间内被解决(注意，这三个难题有一个共同的特点，就是它们均与隐含子群类问题相关)[7][8]。这就告诉我们：一旦技术上正风生水起的量子计算机实际出现，那么，RSA签名方案、ElGamal签名方案和ECDSA签名方案均将土崩瓦解。

那么，本文提出的基于TLP难题和PRFP难题的数字签名方法(/方案)是否抗量子计算攻击呢？这关键要看TLP难题和PRFP难题能否抵御Shor量子算法及其扩展量子算法的攻击。注意， Grover量子搜索算法只是平方时间提速[14]，而非亚指数时间或指数时间提速，其对现有的数字签名方案不构成威胁。

我们从两个方面来回答这个问题。

⊙能亚指数时间或指数时间提速的量子算法少而又少

从1978年首个基于单向难题的数字签名方案RSA被提出到现在[1]，整整42年过去了，但这么长时间内只有两个有效的量子算法被提出，即1997年提出的Shor量子算法和2003年提出的Shor扩展量子算法。事实正好验证了Shor于2003年所说的话：此类大幅度提速的量子算法是非常有限的[15]。为什么会如此呢？文献[15]在相关分析的基础上给出了两个方面的原因。

⊙本文所提出的数字签名方法(/方案)所基于的难题不涉及隐含子群类问题

从3.2.2节至3.2.4节看到，本数字签名方法(/方案)的安全性是由TLP和PRFP这两个难题来保障的。[9]和[10]表明它们在经典计算机上是安全的，那么，它们在量子计算机上仍然安全吗？基于逻辑的分析表明，这两个难题均不涉及隐含子群类问题，因此，是抗量子计算攻击的，即在量子计算机上是安全的[16][17][18]。

相应地，本数字签名方法(/方案)在量子计算机上是安全的，即量子安全的。

3.3优点和积极效果

3.3.1安全性高

正如上文所分析的那样，本数字签名方法(/方案)不仅在经典计算机上是安全的(目前只存在指数时间攻击方法)，而且在量子计算机上也是安全的(能抵御Shor量子算法及其扩展量子算法的攻击)。

3.3.2模数长度很短

当安全需求为2⁸⁰或2¹²⁸量级时，本数字签名方法(/方案)所需的模数长度为80比特或128 比特，而在同样的安全需求下，流行之ECDSA签名方案所需的模数长度为160比特或256 比特，当然RSA签名方案的模数长度就更长了。

3.3.3签名码长度很短

当安全需求为2⁸⁰或2¹²⁸量级时，本数字签名方法(/方案)的签名码长度为160比特或256 比特，而在同样的安全需求下，流行之ECDSA签名方案的签名码长度为320比特或512比特，当然RSA签名方案的签名码长度就更长了。

3.3.4运算速度很快

实验和分析表明，本数字签名方法(/方案)的数字签名速度很快，身份验证速度就更快，这主要是由两个因素决定的：(i)在同样的安全性下，本签名方法(/方案)的模数长度仅是 ECDSA方案的一半；(ii)本签名方法(/方案)所涉及的运算仅包括模加、模乘、模幂等简单运算，而ECDSA方案所涉及的运算包括椭圆曲线上的点加、数乘等复杂运算。

3.3.5技术可以公开

本数字签名方法(/方案)的技术步骤(主要是三个算法)是可以完全公开的，签名者(或身份主体)的验证公钥也是可以完全向外界公开的(例如，可以被放置于万物统一身份验证平台上)，只要签名私钥不泄密，就完全可以保证私钥的安全和签名码的安全。

3.3.6对国家安全有利

互联网是一种开放网络，显而易见，为了确保可信，就必须对经由互联网传输的各种消息进行加密和数字签名。

由于我国政府、国防、金融、税务等重要部门业已使用互联网作为通信工具，因此，网络信息安全关系到国家安全。

从技术制衡的角度来讲，一个泱泱大国的网络信息安全不能建立在外来的密码或数字签名技术之上，因此，研究我们完全自主的、原始创新的、量子安全的非对称加密和数字签名技术显得势在必行、刻不容缓和具有重大意义。

(四)具体实施方式

一种使用新难题的量子安全的数字签名方法的特点是它能够让每个用户拥有两个钥匙，即一个私钥和一个公钥，私钥用于用户自己做消息的数字签名，公钥用于大众做消息的身份验证。这样，验证不受时间、地点和有关政策的限制，变得非常方便了。当约定通信者在网上传输消息时，发送方(即签名者)利用自己的私钥对消息进行签名、得到签名码(并使其附加自身用户编号)，接收方收到消息和签名码(附签名者用户编号)后，提取消息摘要，并把消息摘要和签名码(附签名者用户编号)转送到万物统一身份验证平台进行查验并获得返回结果。

每个用户应该首先到万物统一身份验证平台进行登记、注册和获得自己的用户编号，然后利用双钥生成部件输出自己的一对私钥与公钥，私钥须自己保管、不得外泄，公钥被附加用户编号后应该公开地上传到万物统一身份验证平台进行保存。

本数字签名方法(/方案)可以用逻辑电路芯片或程序语言来实现，它包括三个部件：①根据3.2.2节开发出用于双钥生成的芯片或软件模块，供身份主体使用；②根据3.2.3节开发出用于数字签名的芯片或软件模块，供签名用户使用；③根据3.2.4节开发出用于身份验证的芯片或软件模块，供万物统一身份验证平台使用。

参考文献

[1]R.L.Rivest，A.Shamir，and L.M.Adleman.A Method for Obtaining DigitalSignatures and Public-key Cryptosystems.Communications of the ACM，v21(2)，1978，pp 120-126.

[2]D.Johnson，A.Menezes，and S.Vanstone.The Elliptic Curve DigitalSignature Algorithm(ECDSA)， Certicom，2001.

[3]W.Trappe and L.C.Washington.Introduction to Cryptography withCoding Theory.Prentice-Hall，2002，ch 15.

[4]陶仁骥，陈世华.一种有限自动机公开钥密码体制和数字签名.计算机学报，v8(6)，1985，pp 401-409.

[5]苏盛辉.REESSE1公开密钥密码体制.计算机工程与科学，v25(5)，2003，pp 13-16.

[6]Shenghui Su and Shuwang Lü.A Public Key Cryptosystem Based onThree New Provable Problems. Theoretical Computer Science，v426-427，2012，pp91-117.

[7]P.W.Shor.Polynomial-time Quantum Algorithms for PrimeFactorization and Discrete Logarithms on a Quantum Computer.SIAM Journal onComputing，v26(5)，1997，pp 1484-1509.

[8]J.Proos and C.Zalka.Shor′s Discrete Logarithm Quantum Algorithmfor Elliptic Curves.Quantum Information and Computation，2003，v3(4)，pp 317-344.

[9]Shenghui Su，Shuwang Lü，and Xiubin Fan.Asymptotic GranularityReduction and Its Application. Theoretical Computer Science，v412(39)，2011，pp5374-5386.

[10]Shenghui Su and Shuwang Lü.REESSE1+·Reward·Proof by Experimenton 80-bit Moduli.Cornell University Library(http：//arxiv.org/pdf/0908.0482)，Aug 2009(Revised Dec 2012).

[11]Mathematics Faculty.Introduction to Number Theory：SolvingPolynomial Congruences to Prime Power Moduli.Dartmouth College(http：//www.math.dartmouth.edu/～m25f11/notes/class20.pdf)，Nov 2011.

[12]Mathematics Faculty.Number Theory：Computing Roots modulop.University of Cambridge (http：//www.maths.cam.ac.uk/undergrad/catam/II/15pt6.pdf)，Jul 2013.

[13]H.Cohen.A Course in Computational Algebraic NumberTheory.Springer，1997，ch 1&3.

[14]L.K.Grover.A Fast Quantum Mechanical Algorithm for DatabaseSearch.Proc.of the 28th Symposium on Theory of Computing，ACM，May 1996，pp.212-219.

[15]P.W.Shor.Why Haven′t More Quantum Algorithms Been Found.Journalof the ACM，v50(1)，2003， pp.87-90.

[16]Y.Tang and S.Su.Application of Grover′s Quantum Search Algorithmto Solve the Transcendental Logarithm Problem.CIS2014，IEEE，Nov 2014.

[17]G.Sun，S.Su，and M.Xu.Quantum Algorithm for Polynomial Root FindingProblem.CIS2014，IEEE，Nov 2014.

[18]孙国栋.REESSE1+中几个难题抗量子计算攻击的研究.北京工业大学博士论文，国图博士论文库， 2015年6月.

Claims (1)

1.一种使用新难题的量子安全的数字签名方法，由双钥生成、数字签名和身份验证三个部件组成，双钥生成部件供每个注册用户生成自己的一个私钥(私自保管)与一个公钥(被附加用户编号后公开存放于万物统一身份验证平台)，数字签名部件供发送方(即签名者)利用自己的私钥对消息做签名、得到签名码并使其附加自身用户编号，身份验证部件供万物统一身份验证平台利用发送方的公钥对接收方远程提供的消息摘要和签名码做查验并返回“有效”或“无效”的结果，在下文中，“xy”表示两个数相乘，“％”表示模运算，“←”表示变量的赋值，“≡”表示两边对模数求余相等，“∈”表示变量值属于某个区间或集合，“x|y”表示x整除y，

表示x不能整除y，x^-1表示模逆元，gcd(x，y)代表最大公约数，||x||代表x％M的阶，

代表取x的上整数，lgx代表x以2为底的对数，

代表消息

的单向散列函数输出(即消息摘要)，M表示模数，

表示M-1，本方法的特征在于

·双钥生成部件采用了下列步骤：

1)输入模数比特长度m(＝80、96、112、128等)；

2)选取互素整数

满足

以及

其中

为素数；

3)找到一个素数M使得

和

4)任选

使得

和

为小整数；

5)任选W＜M满足

和

任选

满足

和

6)计算

其中，

为素数且有

末尾，输出私钥

公钥

·数字签名部件采用了下列步骤：

(1)输入自己的私钥

和待签消息

(2)令

(3)任选

使得

和

其中

(4)计算

(5)任选

使得

和

计算

(6)若

则转至(5)；

末尾，输出签名码<Q，U>，其被附加签名者用户编号后绑定于消息

发送给接收方；

·身份验证部件采用了下列步骤：

①输入

和签名码<Q，U>，

根据签名者用户编号找到相应公钥

②计算

③计算

④若μ≠v且X≡Y，则表明签名为真且

未被修改，

否则，签名为假或者

已被修改；

末尾，输出并返回“有效”或“无效”的结果到接收方；

依据返回结果，接收方能够判断一个签名是否有效，以防止他人对签名者的假冒、签名者自身对消息的否认，并防止传输过程中他人对消息的伪造和篡改。