CN113591160B

CN113591160B - 一种基于对称密码的状态数字签名方法及系统

Info

Publication number: CN113591160B
Application number: CN202110877850.XA
Authority: CN
Inventors: 张涵东; 李劲松; 魏普文; 刘国霄
Original assignee: Shandong University
Current assignee: Shandong University
Priority date: 2021-07-30
Filing date: 2021-07-30
Publication date: 2023-08-11
Anticipated expiration: 2041-07-30
Also published as: CN113591160A

Abstract

本公开公开了一种基于对称密码的状态数字签名方法及系统，包括以下步骤：步骤S01：获取分组密码电路及首次签名消息，进行预处理并完成首次签名；步骤S02：将分组密码电路分解为第一分组密码电路和第二分组密码电路；步骤S03：后续签名基于首次签名状态，并结合随机掩码复用技术，对步骤S02中的第二分组密码电路应用零知识证明；步骤S04：结合签名消息，利用Fiat‑Shamir转换技术对步骤S03中的第二分组密码电路零知识证明进行转化，生成签名；步骤S05：针对后续签名消息，重复步骤S03‑步骤S04，依次生成后续签名。本公开在签名者与验证者存在多次签名需求的场景下，可显著降低签名长度，提升多次签名和验证的性能。

Description

一种基于对称密码的状态数字签名方法及系统

技术领域

本公开属于网络空间安全技术领域，尤其涉及一种基于对称密码的状态数字签名方法及系统。

背景技术

数字签名是保障网络空间安全的关键技术之一，用于鉴别数据的真实性及完整性，具有不可伪造性、不可抵赖性、可转移性，广泛应用金融、政务、教育、医疗等领域。但是随着量子计算机技术研究的迅速发展，当前被广泛应用的数字签名方案的安全性受到量子计算的潜在威胁。为了防御未来量子计算的可能攻击，美国、欧盟等启动具备抗量子计算机攻击能力的新一代密码算法的研究计划，其中包括抗量子计算的数字签名方案。在各类抗量子计算数字签名方案中，基于对称密码的数字签名Picnic备受瞩目。Katz、Kolesnikov与Wang(参见Jonathan Katz,Vladimir Kolesnikov,and Xiao Wang.Improved Non-

Interactive Zero Knowledge with Applications to Post-QuantumSignatures.In ACM SIGSAC Conference on Computer and Communications Security,pp.525–537.ACM Press,2018.)进一步改进了“Picnic”所基于的零知识证明技术，并应用于数字签名“Picnic”系列算法中，极大提升了Picnic算法的整体性能；Picnic目前为美国NIST后量子密码竞赛第三轮候选算法。

但是，与基于格困难问题的数字签名相比，基于对称密码的数字签名仍然存在签名长度较大的问题。

发明内容

本公开为了解决上述问题，本发明提出一种基于对称密码的状态数字签名方法及系统，本公开在签名者与验证者存在多次签名需求的场景下，可显著降低签名长度，提升多次签名和验证的性能。

为了实现上述目的，本发明是通过如下的技术方案来实现：

第一方面，本公开提供了一种基于对称密码的状态数字签名方法，包括以下步骤：

步骤S01：获取分组密码电路及首次签名消息，进行预处理并完成首次签名；

步骤S02：将分组密码电路分解为第一分组密码电路和第二分组密码电路；

步骤S03：后续签名基于首次签名状态，并结合随机掩码复用技术，对步骤S02中的第二分组密码电路应用零知识证明；

步骤S04：结合签名消息，利用Fiat-Shamir转换技术对步骤S03中的第二分组密码电路零知识证明进行转化，生成签名；

步骤S05：针对后续签名消息，重复步骤S03-步骤S04，依次生成后续签名。

进一步的，步骤S01中预处理采用预处理“MPC-in-the-head”协议，协议分为预处理阶段和在线阶段两个阶段。

所述预处理阶段为整个电路的每条输入线路和所有乘法门的输出线路分配随机掩码，并为每个参与方分配对应的随机掩码份额；如果门电路是异或门，每个参与方在本地计算掩码份额的异或；如果门电路是乘法门，每个参与方的输入线路拥有两个掩码份额，并且需要为参与方设置辅助信息。

所述在线阶段运行虚拟的安全多方计算协议，每个参与方都持有含掩码的输入值以及各自的掩码份额；如果门电路是异或门，每个参与方自行计算线路的输出结果；如果门电路是乘法门，每个参与方计算份额，对所有参与方通过公开各自份额重构，得到电路最终输出结果。

所述步骤S03中，计算步骤S02中第一分组密码电路，并对计算后的第一分组密码电路使用掩码隐藏，获得状态存储，用于后续多次签名输入信息的计算。

对后序签名的相关掩码进行重新随机化，前一次签名为后一次签名提前生成需要的随机数，用于计算后续签名；每次签名结束后，签名者与验证者双方更新各自内部状态，作为下一次签名者与验证者的输入。所述第二分组密码电路规模显著小于分组密码电路规模。

第二方面，本公开第一方面所述的基于对称密码的状态数字签名方法，包括预处理模块、证明模块和转化模块：

所述预处理模块，被配置为：获取分组密码电路及首次签名消息，进行预处理并完成首次签名；将所述分组密码电路分解为第一分组密码电路和第二分组密码电路；

证明模块，被配置为：后续签名基于首次签名状态，并结合随机掩码复用技术，对所述预处理模块中的第二分组密码电路应用零知识证明；

转化模块，被配置为：结合签名消息，利用Fiat-Shamir转换技术对步骤S03中的第二分组密码电路零知识证明进行转化，生成签名。

第三方面，本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现第一方面中所述的一种基于对称密码的状态数字签名方法。

第四方面，本公开还提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现第一方面中所述的一种基于对称密码的状态数字签名方法。

与现有技术相比，本公开的有益效果为：

本公开提供的数字签名方案适用于签名者与验证者存在多次签名需求的场景，如在区块链应用场景中，本签名方案的部分公开状态信息可存储于历史区块中，用以加速后续区块签名及验证，同时降低签名长度；在完成初次签名后，后续签名与现有Picnic签名方案相比，具有更快的签名和验证的速度以及更短的签名长度。

附图说明

构成本实施例的一部分的说明书附图用来提供对本实施例的进一步理解，本实施例的示意性实施例及其说明用于解释本实施例，并不构成对本实施例的不当限定。

图1为本公开实施例1的签名者进行签名的流程图；

图2为本公开实施例1的验证者进行验证的流程图；

图3为本公开实施例1的签名者和验证者状态更新的流程图；

图4为本公开实施例1的签名者执行电路的结构图；

图5为本公开实施例1的预处理阶段异或门的结构图；

图6为本公开实施例1的预处理阶段乘法门的结构图；

图7为本公开实施例1的多次数字签名流程图；

图8为本公开实施例1的进行优化的二叉树结构图。

具体实施方式：

下面结合附图与实施例对本公开作进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本公开提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本公开所属技术领域的普通技术人员通常理解的相同含义。

实施例1：

本实施例中，在Katz、Kolesnikov与Wang的预处理“MPC-in-the-head技术(KKW)基础上，结合分组密码结构特点，将分组密码电路分解为第一分组密码电路和第二分组密码电路两部分；定义分组密码F(x)＝f₂·f₁(x)＝f₂(y₁)＝y，其中第一分组密码电路f₁(x)＝y₁，令C表示F对应的电路，第二分组密码电路C⁽²⁾表示f₂对应的电路，f₂对应电路C⁽²⁾规模显著小于C；在完成首次签名后，后续签名基于首次签名状态，并结合随机掩码复用技术，对于C⁽²⁾应用零知识证明，在不泄露任何关于x、y₁信息的情况下，说服验证者相信证明者确实知道x，且确保f₂知识可提取；利用Fiat-Shamir转换技术将上述C⁽²⁾零知识证明进一步转化为规模更小的数字签名方案；在后续的每次签名及验证算法中，签名者与验证者各自更新内部状态，基于前一次签名后的状态更新，实现当前签名长度压缩及性能提升。

本实施例中提出的基于对称密码的状态数字签名方案在第1次签名中执行C的电路证明，输出相关证明作为第一次签名；在第t(t＞1)次签名中执行C⁽²⁾的电路证明，其中每个实例包含l次并行执行，输出相关证明作为第t次证明。在第1次签名中，令z_α表示电路C在输入w后线路α对应的值，签名者的掩码为λ_α∈{0，1}，计算得到电路的含掩码的输入值/>签名者在第1次签名得到/>时需要将/>作为状态存储，用于后续多次签名输入信息的计算；为了保障多次签名不会造成秘密泄露，需对后序签名的相关掩码进行重新随机化，其中第i次签名需要为第i+1次签名提前生成需要的随机数seed^Δ，用于计算后续签名；每次签名结束后，签名者与验证者双方需更新各自内部状态，作为下一次签名/验证的输入。

本实施例中利用的预处理“MPC-in-the-head”协议分为两个阶段：预处理阶段和在线阶段。

具体的，预处理阶段为整个电路的每条输入线路和所有乘法门的输出线路分配随机掩码，并为每个参与方分配对应的随机掩码份额(假设共有n个“虚拟”参与方)；电路门的输入线路记为α和β，输出线路记为γ。

(1)如果门电路是异或门，每个“虚拟”参与方可以本地计算掩码份额的异或，即

(2)如果门电路是乘法门，每个“虚拟”参与方的输入线路拥有两个掩码份额[λ_α]、[λ_β]，为每个参与方随机生成份额[λ_α，β]在协议执行阶段使用。利用该方式生成的掩码份额并不能保证为了确保{λ_α，β}份额的正确性，需要为第n个参与方设置辅助信息aux，使得/>

在第1次签名中，每个参与方拥有一个长度为κ比特的种子{seed_i∈{0，1}^k}_i∈[n]，每个参与方利用自己的种子seed_i生成执行多方安全计算协议时需要的掩码份额和随机数，最后一个参与方拥有辅助信息aux_n；在第1次签名过程中，保留计算得到对应的随机掩码值/>利用随机掩码值/>和seed^Δ计算得到下一次签名的输入随机掩码；以第二次签名为例，签名运行C⁽²⁾电路证明，利用seed^Δ生成l次电路C⁽²⁾证明执行用到的随机掩码差值{Δ^(u)}_u∈[l]，第一次执行的输入随机掩码为/>每个参与方利用/>生成第一次执行的输入掩码份额/>为了确保/>份额的正确性，需要为最后一个参与方添加一个辅助比特corr，满足/> 将辅助比特corr存入aux_n中。设state表示参与方在预处理阶段的状态信息，针对前n-1个参与方，令{state_i＝seed_i}_{i∈[1，...，n-1]}，用于协议执行时生成/>针对第n个参与方，令state_n＝seed_n||aux_n，用于协议执行时生成[λ_α]_n和[λ_α，β]_n。

在线阶段，签名者模拟运行安全多方计算协议，假设每个虚拟参与方都持有含掩码的输入值以及各自的掩码份额；假设α和β是两条输入线路，分别对应/>和/>输出线路是γ，每个参与方需要计算线路的输出结果/>

(1)如果门电路是异或门，每个参与方可自行计算

(2)如果门电路是乘法门，每个参与方计算所有参与方通过公开各自份额[s]重构得到s，因为/>和/>可以得到/>得到电路最终输出结果/>后，可通过公开对应λ_γ验证z_γ正确性。

第1次签名的在线阶段计算含有掩码的输入值将/>发送给每个虚拟参与方；对于每个门电路按照上述方式执行C电路证明。在获得计算结果/>时存储状态/>用于计算后续签名的输入信息；在第t(t＞1)次签名时，签名者首先利用第1次签名状态信息/>和第t-1(t＞1)次签名生成的seed^Δ计算本次签名的输入值，然后完成电路C⁽²⁾证明。

实施例2：

本实施例提供了一种基于对称密码的状态数字签名系统，应用了实施例1中基于对称密码的状态数字签名方法，包括预处理模块、证明模块和转化模块：

所述预处理模块，被配置为：预处理首次签名，获取分组密码电路；将所述分组密码电路分解为第一分组密码电路和第二分组密码电路；

转化模块，被配置为：利用Fiat-Shamir转换技术对所述证明模块中的第二分组密码电路零知识证明进行转化。

实施例3：

本实施例提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现实施例1所述的基于对称密码的状态数字签名方法。

实施例4：

本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现实施例1所述的基于对称密码的状态数字签名方法。

实施例5：

密钥生成：输入安全参数κ，签名者通过预设转换函数Gen生成一对公私钥(pk，sk)，其中pk＝y，sk＝w，满足C(w)＝y，C为公开的分组密码电路描述。方案初始化t＝1，签名者S的状态sstate_t＝⊥，验证者V的状态vstate_t＝⊥。

如图1所示，本实施的签名阶段为：输入(sk，message)，

Q1、承诺阶段：

Q11、签名者S均匀随机的选择salt_t∈{0，1}^k和伪随机生成器种子

Q12、如果t＝1，针对每个实例j∈[M]：

Q12a、签名者S均匀随机的选择伪随机生成器主种子并利用生成：

seed_j，1，t，r_j，1，t，...，seed_j，n，t，r_j，n，t，

Q12b、签名者S根据上述KKW方法计算aux_j，n，t∈{0，1}^|C|。针对i∈[n-1]，令state_j，i，t＝seed_j，i，t；令state_j，n，t＝seed_j，n，t||aux_j，n，t。

Q12c、签名者S利用生成/>

Q12d、针对每个i∈[n]，签名者S计算com_j，i，t＝Com(state_j，i，t，r_j，i，t，salt_t)，其中Com为承诺方案。

Q12e、签名者S利用{state_j，i，t}_i∈[n]按照以下方式执行：

(1)对于电路C的每一条输入线路α，利用seed_j，i，t生成掩码{λ_j，α，t}。

(2)计算包含掩码的输入值即/>其中w_α表示w对应输入线路α的值。

(3)根据C的KKW电路证明在线阶段，运行n个参与方的安全多方计算协议Π_full，每个参与方生成消息msgs_j，i，t。

(4)令执行C电路的中间值为其中z_{j，α，inter}为计算C(w)过程中线路α产生的中间状态值，λ_{j，α，inter}为线路α的掩码值)。

Q12f、签名者S利用杂凑函数H计算h_j，t＝H(com_j，1，t，...，com_j，n，t)和

Q12g、签名者S利用为C⁽²⁾电路的每条输入线路生成

(1)针对所有u∈[l]，i∈[n-1]，签名者S利用为C⁽²⁾电路的每条输入线路生成随机掩码份额/>并计算/>满足/>

(2)针对所有u∈[l]，i∈[n-1]，令令

Q12h、签名者S计算和/>

Q12i、签名者S计算h_t＝H(h_1，t，...，h_M，t)，h′_t＝H(h′_1，t，...，h′_M，t)和

Q13、如果t＞1，针对j∈C：

Q13a、签名者S均匀随机选择伪随机生成器主种子并利用生成：

Q13b、签名者S利用生成/>

Q13c、签名者S利用按照以下方式执行C⁽²⁾证明在线阶段：

(1)计算掩码后的C⁽²⁾电路输入值即/>

(2)根据C⁽²⁾电路的KKW在线证明，运行n个参与方的安全多方计算协议Π_part，每个参与方生成消息

Q13d、签名者S计算

Q13e、签名者S利用为C⁽²⁾电路的每条输入线路生成随机掩码差值

(1)针对所有u∈[l]，i∈[n-1]，签名者S利用为C⁽²⁾电路的每条输入线路生成/>并计算/>满足

(2)对于所有u∈[l]，i∈[n-1]，令令

Q13f、假设C＝{j₁，...，j_τ}，签名者S计算和/>

Q13g、签名者S计算和/>

Q2、挑战阶段：

Q21、如果t＝1，签名者S计算生成一个均匀随机的大小为τ的集合C∈[M]和P_t＝{p_j，t}_j∈C(其中p_j，t∈[n])。

Q22、如果t＞1，签名者S计算生成一个均匀随机的(其中/>)。

Q3、响应阶段：签名者S发送salt_t和给验证者V；

Q31、如果t＝1，对于j∈[M]/C，签名者S发送h′_j，t；对于j∈C，签名者S发送和/>给验证者V。

Q32、如果t＞1，对于j∈C，u∈[l]，签名者S发送和/>给验证者V。

输出签名如下：

如果t＝1，则

如果t＞1，则

验证阶段：输入公钥pk，消息message及签名σ，

如图2所示，验证者V将进行以下检查，所有检查都通过则验证成功：

T1、如果t＝1：

T1a、对于j∈C，验证者V利用和salt_t计算/>然后计算h_j，t＝H(com_j，1，t，...，com_j，n，t)。T1b、对于j∈C，验证者V利用/>和salt_t计算/>

T1c、对于j∈[M]/C，验证者V利用和/>计算h_j，t和/>然后计算h_t＝H(h_1，t，...，h_M，t)和/>

T1d、对于j∈C，验证者V利用和/>模拟n个参与方执行多方安全计算协议Π_full，计算得到/>和输出结果y′。检查y是否等于y’，并计算/>以及h′_t＝H(h′_1，t，...，h′_M，t)。

T1e、验证者V检查

T2、如果t＞1，

T2a、对于j∈C，验证者V利用和salt_t计算/> 以及/>

T2b、对于j∈C，u∈[l]，验证者V利用和/>模拟n个参与方执行多方安全计算协议Π_part，计算得到/>和输出结果y′。检查y是否等于y’，并计算/> 以及/>

T2c、验证者V检查

状态更新

如图3所示，签名者S和验证者V每次完成签名及验证后，需要更新各自状态以便加速后续签名生成及验证：

U1、签名者S设置

U2、验证者V设置

U3、签名者S和验证者V设置t＝t+1。

如图4所示，为签名者在签名的实例中，每次执行包含n个虚拟参与方输入和输出，并且每个输入线路都有一个掩码份额。每次执行对应的电路中包含异或门或乘法门，针对每个门电路具体执行方式如上所述，在图5和图6中展示了本发明预处理阶段异或门和乘法门的执行结构图。

图7展示了本发明状态数字签名流程图，第1次签名中执行C电路，其中每个实例包含1次执行，并为第2次签名预先生成随机数，并在本次数字签名过程结束后更新状态信息；在第t(t＞1)次签名中执行C⁽²⁾电路，其中每个实例包含l次执行，需要为第t+1次签名预先生成随机数，并在本次数字签名过程结束后更新状态信息。通过多次执行C⁽²⁾电路以及需对相关掩码进行重新随机化，在多次数字签名中提高速度、减小大小。

图8展示了本发明采用的二叉树结构图，假设隐藏的种子为seed₄，如果不采用二叉树的结构进行优化，则需要发送除了seed₄的7个种子；采用二叉树结构进行优化后，需要发送3个种子，分别是：seed^*的右孩子、seed₁的父节点和seed₃；采用这样的结构可以减小数字签名大小。

本公开所提供的数字签名方案适用于签名者与验证者存在多次签名需求的场景，如在区块链应用场景中，本签名方案的部分公开状态信息可存储于历史区块中，用以加速后续区块签名及验证，同时降低签名长度。在完成初次签名后，后续签名与现有Picnic签名方案相比，具有更高的签名和验证速度以及更短的签名长度，以下为签名长度及性能对比表。

表2：ρ＝128时签名长度及性能对比表

表3：ρ＝256时签名长度及性能对比表

以上所述仅为本实施例的优选实施例而已，并不用于限制本实施例，对于本领域的技术人员来说，本实施例可以有各种更改和变化。凡在本实施例的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本实施例的保护范围之内。

上述虽然结合附图对本公开的具体实施方式进行了描述，但并非对本公开保护范围的限制，所属领域技术人员应该明白，在本公开的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本公开的保护范围以内。

Claims

1.一种基于对称密码的状态数字签名方法，其特征在于，包括以下步骤：

步骤S05：针对后续签名消息，重复步骤S03-步骤S04，依次生成后续签名；

步骤S01中预处理采用预处理“MPC-in-the-head”协议，协议分为预处理阶段和在线阶段两个阶段，在预处理阶段为后续签名生成相关数据，并将电路分解为两部分；

所述预处理阶段为整个电路的每条输入线路和所有乘法门的输出线路分配随机掩码，并为每个参与方分配对应的随机掩码份额；

如果门电路是异或门，每个参与方在本地计算掩码份额的异或；

如果门电路是乘法门，每个参与方的输入线路拥有两个掩码份额，为参与方设置辅助信息；

所述在线阶段运行虚拟的安全多方计算协议，每个参与方都持有含掩码的输入值以及各自的掩码份额；

如果门电路是异或门，每个参与方自行计算线路的输出结果；

如果门电路是乘法门，每个参与方计算份额，对所有参与方通过公开各自份额重构，得到电路最终输出结果。

2.如权利要求1所述的一种基于对称密码的状态数字签名方法，其特征在于，所述步骤S03中，后续签名基于首次签名状态，并结合随机掩码复用技术，对步骤S02中的第二分组密码电路应用零知识证明。

3.如权利要求2所述的一种基于对称密码的状态数字签名方法，其特征在于，对后序签名的相关掩码进行重新随机化，前一次签名为后一次签名提前生成需要的随机数，用于计算后续签名；每次签名结束后，签名者与验证者双方更新各自内部状态，作为下一次签名者与验证者的输入。

4.如权利要求1所述的一种基于对称密码的状态数字签名方法，其特征在于，所述第二分组密码电路规模显著小于原分组密码电路规模。

5.一种基于对称密码的状态数字签名系统,其特征在于，应用了权利要求1-4任一项所述的基于对称密码的状态数字签名方法，包括预处理模块、证明模块和转化模块：

6.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1-4任一项所述的一种基于对称密码的状态数字签名方法。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-4任一项所述的一种基于对称密码的状态数字签名方法。