CN114978524B - 一种基于离散对数的多重变色龙哈希方法及系统 - Google Patents

Abstract

本发明公开了一种基于离散对数的多重变色龙哈希方法及系统，属于密码学领域；所述的方法具体步骤如下：S1设施乘法群G，定义哈希函数H，进行安全设置；S2各方选择陷门份额，并合作生成聚合哈希公钥；S3利用聚合就哈希公钥计算变色龙哈希值；S4利用计算出的哈希值进行有效性验证；S5通过各陷门份额持有者利用分布式协议计算碰撞；本发明将变色龙哈希函数算法变成了一种分布式协议，哈希公钥由多个参与方的公钥聚合而成，私钥份额由各个参与方独立生成，不需要秘密分发者，计算哈希碰撞仅需要三个轮次并发通信；本算法原理简单，容易实现，通信轮次与参与者数量无关，支持公钥聚合，多方都同意才可以计算哈希碰撞，具有很高的可信安全性。

Description

一种基于离散对数的多重变色龙哈希方法及系统

技术领域

本发明公开一种基于离散对数的多重变色龙哈希方法及系统，涉及密码学技术领域。

背景技术

在论文《Key-Exposure Free Chameleon Hashing and Signatures Based onDiscrete Logarithm Systems》(陈晓峰等人编著)中提出了一种基于离散对数的无密钥暴露变色龙哈希函数算法(详见附录[1])，该算法不依赖双线性映射，这里简略描述其算法：

-系统参数生成PG：设G是g生成的乘法群，其阶为素数q。设H：{0,1}→G*是一个全域抗碰撞哈希函数。系统参数为SP＝{G,q,g,H}。

-密钥生成KG：任何用户随机选择一个整数x∈R Zq*作为他的陷门密钥，并发布他的哈希公钥y＝gx。y的有效性可以通过可信证书颁发机构颁发的证书来确保。

-哈希计算H：在输入哈希密钥y时，自定义标识I，设h＝H(y,I)。选择一个随机整数a∈R Zq*,并计算r＝(ga,ya)。我们提出的变色龙哈希函数定义为

H＝Hash(I,m,r)＝gahm。

-碰撞计算F：对于任何有效的哈希值H，可以使用算法F计算与陷门密钥x的哈希碰撞，如下所示：

F(H,x,I,m,r,m′)＝r′＝(g^a′,y^a′)，

其中，g^a′＝g^ah^m-m′和y^a′＝y^ah^x(m-m′)。

注意Hash(I,m′,r′)＝Hash(I,m,r)。另外，对于任意碰撞r′，陷门钥匙x的持有者可以利用两个离散对数相等的知识证明，使任何第三方相信<g,y,g^a′,y^a′>是有效的Diffie-Hellman元组，即特别地，它也适用于原始输入(ga,ya)。因此，伪造是成功的。此外，如果r是均匀分布的，那么r′的分布在计算上与均匀分布是不可区分的。

该变色龙哈希算法的陷门钥匙x由个人持有，计算哈希碰撞的权力过于集中。

故现发明一种基于离散对数的多重变色龙哈希方法及系统，以解决上述问题。

发明内容

本发明针对现有技术的问题，提供一种基于离散对数的多重变色龙哈希方法及系统，所采用的技术方案为：一种基于离散对数的多重变色龙哈希方法，所述的方法具体步骤如下：

S1设施乘法群G，定义哈希函数H，进行安全设置；

S2各方选择陷门份额，并合作生成聚合哈希公钥；

S3利用聚合就哈希公钥计算变色龙哈希值；

S4利用计算出的哈希值进行有效性验证；

S5通过各陷门份额持有者利用分布式协议计算碰撞。

所述S5通过各陷门份额xi计算碰撞份额hi的算法和协议，通过协议聚合出碰撞h和ya'。

所述S5通过各陷门份额xi计算碰撞份额hi的算法和协议，通过协议聚合出碰撞h和ya'具体步骤如下：

S501将新信息发送给所有的参与方；

S502判断碰撞份额hi是否有效；

S503利用有效明文份额hi计算哈希碰撞r′。

所述S501将新信息发送给所有的参与方前，进行零知识证明计算。

所述S2各方选择陷门份额，并通过分布式协议正确计算出与聚合公钥对应的哈希碰撞。

一种基于离散对数的多重变色龙哈希系统，所述的系统具体包括安全设置模块、安全设置模块、哈希计算模块、哈希验证模块和碰撞计算模块：

安全设置模块：设施乘法群G，定义哈希函数H，进行安全设置；

安全设置模块：各方选择陷门份额，并合作生成聚合哈希公钥；

哈希计算模块：利用聚合就哈希公钥计算变色龙哈希值；

哈希验证模块：利用计算出的哈希值进行有效性验证；

碰撞计算模块：通过各陷门份额持有者利用分布式协议计算碰撞。

所述碰撞计算模块通过各陷门份额xi计算碰撞份额hi的算法和协议，通过协议聚合出碰撞h和ya'。

所述碰撞计算模块具体包括信息分发模块、碰撞判断模块和计算处理模块：

信息分发模块：将新信息发送给所有的参与方；

碰撞判断模块：判断碰撞份额hi是否有效；

计算处理模块：利用有效明文份额hi计算哈希碰撞r′。

所述信息分发模块将新信息发送给所有的参与方前，进行零知识证明计算。

所述安全设置模块：各方选择陷门份额，并通过分布式协议正确计算出与聚合公钥对应的哈希碰撞。

本发明的有益效果为：本发明将变色龙哈希函数算法变成了一种分布式协议，哈希公钥由多个参与方的公钥聚合而成，私钥份额由各个参与方独立生成，不需要秘密分发者，计算哈希碰撞仅需要三个轮次并发通信；本算法原理简单，容易实现，通信轮次与参与者数量无关，支持公钥聚合，多方都同意才可以计算哈希碰撞，具有很高的可信安全性；

本发明改进基于离散对数的变色龙哈希算法为分布式多方协议，成为一种n-of-n多重变色龙哈希算法，令陷门秘密被多个参与方共同掌控，n个参与方都同意才能计算出哈希碰撞，提高变色龙哈希算法的安全性和可信性；支持哈希公钥聚合，对于哈希值计算和哈希验证来说等同于一般变色龙哈希算法(即仅在计算哈希碰撞时需要多个陷门持有者参与计算)；在多重算法(如MuSig)设计风格下，陷门秘密份额由各方独立生成，公钥由多方的公钥份额聚合而成，没有秘密分发者，协议的去中心化程度高，安全、可信。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明方法的流程图；图2是本发明实施例的实施流程图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明，以使本领域的技术人员可以更好地理解本发明并能予以实施，但所举实施例不作为对本发明的限定。

首先对本发明涉及的部分专业用语进行解释：

1)变色龙哈希函数(chameleon hash function)

变色龙哈希函数也称作陷门哈希函数，首先由Krawczyk和Rabin提出；“变色龙”的意思是陷门信息的拥有者可以在不改变函数输出的前提下，随意的改变函数的输入；在变色龙哈希函数中，掌握陷门信息的人能过很容易的计算出一个随机输入的碰撞，没有掌握陷门信息的人则无法计算出碰撞；

在变色龙哈希函数中，我们假设签名者是S,签名的接收者是R，接收者R根据一个特定的密钥生成算法生成系统需要的公钥和私钥，其中公钥表示为HK，私钥表示为PK，变色龙哈希函数表示为为CHAM-HASH(·,·)，它可以由公钥HK快速的计算出来，比如输入一条消息m和一个随机值r，则此变色龙哈希函数的变色龙哈希值h就可以表示为h＝CHAM-HASH(m,r)；

变色龙哈希函数是一个非标准的抗碰撞哈希函数，它包含一对公钥私钥对，分别用hashkeyHK和trapdoorkeyTK(陷门信息)表示；与传统哈希函数相比，变色龙哈希函数具有以下特性：

(1)如果一个人知道，他就可以计算与hashkey相关联的变色龙哈希函数；

(2)对于不知道陷门信息的人而言，变色龙哈希函数通常都是抗碰撞的；

(3)掌握陷门信息的人面对任何给定输入都可以非常轻易的计算出与原始消息不同的一个碰撞；

通常，一个变色龙哈希方案由以下四个算法组成[13]：

系统参数生成算法，输入一个安全的参数k，输出系统参数SP；

密钥生成算法，它负责生成变色龙哈希函数所需要的公钥和私钥，方法如下，输入系统参数SP，为每一个用户输出一个公钥/私钥对(SK,PK)；

哈希值的生成，如果输入用户的公钥PK，任意一条消息m和一个随机值r，其中r∈Zq*,则输出一个哈希值h，其中h＝Hash(m,r)；

一个有效的碰撞计算算法，输入用户的私钥SK，一条消息m和一个随机值r，以及另外一条消息m’，输出一个整数r’，其中r’∈Zq*，计算出Hash(m’,r’)＝Hash(m,r)，通过这个算法，我们可以快速的找到不同于被签名消息m的一个碰撞m’；

实施例一：

一种基于离散对数的多重变色龙哈希方法，所述的方法具体步骤如下：

S1设施乘法群G，定义哈希函数H，进行安全设置；

S2各方选择陷门份额，并合作生成聚合哈希公钥；

S3利用聚合就哈希公钥计算变色龙哈希值；

S4利用计算出的哈希值进行有效性验证；

S5通过各陷门份额持有者利用分布式协议计算碰撞；

本发明方法首先按照S1进行安全设置：设G是g生成的乘法群，其阶为素数q；设H：{0,1}*→G*是一个全域抗碰撞哈希函数；系统参数为SP＝{G,q,g,H}；

假定有n个参与方共同持有陷门信息，他们应该具有相同的安全设置，即上述SP＝{G,q,g,H}应该在n个参与方之间公开；

然后按照S2进行分布式密钥的生成：

每个参数方Pi(1≤i≤n)在[1,q-1]中选择一个随机数xi作为自己的私钥份额，计算作为公钥份额，广播yi；所有参与方都接收到别人的公钥份额后计算聚合公钥：

其中yi是n个参与方的公钥份额，ai＝Hagg(<L>,yi)，<L>＝{y1,...,yn}是所有参与方的有序公钥集合，这样ai将只依赖于参与方的公钥份额，所有参与方和外部用户可以计算和验算聚合公钥的有效性；称为聚合公钥，ai称为Pi的公钥聚合系数；

接着按照S3计算哈希值：

令(即聚合公钥)，输入为消息m，自定义标识I，设h＝H(y,I)；选择一个随机整数a∈R Zq*,并计算r＝(ga,ya)；变色龙哈希函数定义为

H＝Hash(I,m,r)＝gahm；

输出为(H,m,r)，分别为一个哈希值、消息和两个随机数；

再按照S4进行哈希值的验算：

拿到(H,m,r)后，令(聚合哈希公钥)，先计算h＝H(y,I),再计算H’＝Hash(I,m,r)＝gahm，其中r＝(ga,ya)；验算/>等式成立则哈希值验算通过；

最后按照S5进行分布式碰撞查找：

利用背景技术中提到的陈晓峰的哈希碰撞算法r′＝(g^a′,y^a′)，其中g^a′＝g^ah^m-m′和y^a′＝y^ah^x(m-m′)；其中，对于g^a′＝g^ah^m-m′的计算不涉及陷门信息，任何人都可以自己计算；对于y^a′＝y^ah^x(m-m′)，只要多方合作计算出h^x，剩下的计算也不涉及陷门信息，任何人都可以自己计算了；

设各个参与方Pi都已知旧消息m，以及r＝(ga,ya)、h＝H(y,I)、H＝Hash(I,m,r)＝gahm；下面通过多方协议计算h^x；

进一步的，所述S5通过各陷门份额xi计算碰撞份额hi的算法和协议，通过协议聚合出碰撞h和ya'；

进一步的，所述S5通过各陷门份额xi计算碰撞份额hi的算法和协议，通过协议聚合出碰撞h和ya'具体步骤如下：

S501将新信息发送给所有的参与方；

S502判断碰撞份额hi是否有效；

S503利用有效明文份额hi计算哈希碰撞r′；

进一步的，所述S501将新信息发送给所有的参与方前，进行零知识证明计算；

请求方将新消息m’发送给所有n个参与方Pi，1≤i≤n；每个参与者Pi利用自己的私钥份额xi计算碰撞份额其中ai是第(2)步中的公钥聚合系数，1≤i≤n；

为了防止有攻击者或恶意参与方发送错误的错误份额，还需要计算两个零知识证明：Pi随机选取w∈Z*n，计算M_i＝g^w，N_i＝h^w；计算c＝H(g,y_i,h,ni,Mi,Ni)，计算si＝w+xic；Pi发送hi、si、ni、Mi、Ni给其他参与方，其中hi为碰撞份额，si、ni、Mi、Ni为零知识证明；

当任意参与方Pi收到所有其他参与方的hi、si、ni、Mi、Ni后，需要逐个计算c′＝H(g,y_i,h,ni,Mi,Ni)，再验证两个等式和/>是否成立，如果两个等式成立说明该碰撞份额hi有效，如果不成立则解密终止，其中1≤i≤n；如果验证所有明文份额hi都有效，则计算/>再计算g^a′＝g^ah^m-m′，从而完成哈希碰撞r′＝(g^a′,y^a′)的计算；

零知识证明的正确性：

因si＝w+xic，则其中分别代入了和M_i＝g^w；

同样，其中分别代入了N_i＝h^w和

再所述S2各方选择陷门份额，并通过分布式协议正确计算出与聚合公钥对应的哈希碰撞；

多重算法的正确性：

在第(2)步中n各参与方的私钥份额xi之间满足关系其中ai是聚合系数，xi是私钥份额；聚合公钥/>和公钥份额之间满足

上述推导中用到了

ga'和ya'之间的关系是(ga')x＝ya'；在多重算法下两者的关系表示为：

为了描述简单，下面用和/>表示聚合私钥和聚合公钥(去掉波浪号)；将g^a′＝g^ah^m-m′代入等式(1)的左侧，得到

(1)左侧＝(g^ah^m-m′)^x＝g^xah^x(m-m′)＝y^ah^x(m-m′)

等式(1)的右侧代入碰撞计算公式y^a′＝y^ah^x(m-m′)得到

(1)

聚合公钥碰撞份额/>带入等式(1)右侧后得到

(1)

将代入上式可知

(1)右侧＝y^a′＝y^a(h^x)^m-m′＝y^ah^x(m-m′)

到这里就能发现“等式(1)右侧＝等式(1)左侧”，也就说明本发明的多重变色龙哈希碰撞算法使哈希陷门xi分散到多方后，仍可以通过分布式协议正确计算出与聚合公钥对应的哈希碰撞。

实施例二：

一种基于离散对数的多重变色龙哈希系统，所述的系统具体包括安全设置模块、安全设置模块、哈希计算模块、哈希验证模块和碰撞计算模块：

安全设置模块：设施乘法群G，定义哈希函数H，进行安全设置；

安全设置模块：各方选择陷门份额，并合作生成聚合哈希公钥；

哈希计算模块：利用聚合就哈希公钥计算变色龙哈希值；

哈希验证模块：利用计算出的哈希值进行有效性验证；

碰撞计算模块：通过各陷门份额持有者利用分布式协议计算碰撞；

进一步的，所述碰撞计算模块通过各陷门份额xi计算碰撞份额hi的算法和协议，通过协议聚合出碰撞h和ya'；

进一步的，所述碰撞计算模块具体包括信息分发模块、碰撞判断模块和计算处理模块：

信息分发模块：将新信息发送给所有的参与方；

碰撞判断模块：判断碰撞份额hi是否有效；

计算处理模块：利用有效明文份额hi计算哈希碰撞r′；

进一步的，所述信息分发模块将新信息发送给所有的参与方前，进行零知识证明计算；

再进一步的，所述安全设置模块：各方选择陷门份额，并通过分布式协议正确计算出与聚合公钥对应的哈希碰撞。

参考文档：[1]Chen,X.F.；Zhang,F.；Tian,H.B.；Wei,B.D.；Kim,K.Key-ExposureFree Chameleon Hashing and Signatures Based on Discrete Loga-rithm Systems；Sun Yat-sen University:Guangzhou,China,2009；Available online:https://eprint.iacr.org/2009/035.pdf(accessed on 19August 2021).

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (6)

1.一种基于离散对数的多重变色龙哈希方法，其特征是所述的方法具体步骤如下：

S1设施乘法群G，定义哈希函数H，进行安全设置；

S2各方选择陷门份额，并合作生成聚合哈希公钥；

按照S2进行分布式密钥的生成：每个参数方Pi(1≤i≤n)在[1,q-1]中选择一个随机数xi作为自己的私钥份额，计算作为公钥份额，广播yi；所有参与方都接收到别人的公钥份额后计算聚合公钥：

其中yi是n个参与方的公钥份额，ai＝Hagg(<L>,yi)，<L>＝{y1,...,yn}是所有参与方的有序公钥集合，这样ai将只依赖于参与方的公钥份额，所有参与方和外部用户可以计算和验算聚合公钥的有效性；称为聚合公钥，ai称为Pi的公钥聚合系数；

S3利用聚合就哈希公钥计算变色龙哈希值；令(即聚合公钥)，输入为消息m，自定义标识I，设h＝H(y,I)；选择一个随机整数a∈R Zq*,并计算r＝(ga,ya)；变色龙哈希函数定义为

H＝Hash(I,m,r)＝gahm；

输出为(H,m,r)，分别为一个哈希值、消息和两个随机数；

S4利用计算出的哈希值进行有效性验证；拿到(H,m,r)后，令(聚合哈希公钥)，先计算h＝H(y,I),再计算H’＝Hash(I,m,r)＝gahm，其中r＝(ga,ya)；验算/>等式成立则哈希值验算通过；

S5通过各陷门份额持有者利用分布式协议计算碰撞；

利用哈希碰撞算法r′＝(g^a′,y^a′)，其中g^a′＝g^ah^m-m′和y^a′＝y^ah^x(m-m′)；其中，对于g^a′＝g^ah^m-m′的计算不涉及陷门信息，任何人都可以自己计算；对于y^a′＝y^ah^x(m-m′)，只要多方合作计算出h^x，剩下的计算也不涉及陷门信息，任何人都可以自己计算了；

设各个参与方Pi都已知旧消息m，以及r＝(ga,ya)、h＝H(y,I)、H＝Hash(I,m,r)＝gahm；下面通过多方协议计算h^x；

进一步的，所述S5通过各陷门份额xi计算碰撞份额hi的算法和协议，通过协议聚合出碰撞h和ya'；

2.根据权利要求1所述的方法，其特征是所述S5通过各陷门份额xi计算碰撞份额hi的算法和协议，通过协议聚合出碰撞h和ya'。

3.根据权利要求2所述的方法，其特征是所述S5通过各陷门份额xi计算碰撞份额hi的算法和协议，通过协议聚合出碰撞h和ya'具体步骤如下：

S501将新信息发送给所有的参与方；

S502判断碰撞份额hi是否有效；

S503利用有效明文份额hi计算哈希碰撞r′。

4.根据权利要求3所述的方法，其特征是所述S501将新信息发送给所有的参与方前，进行零知识证明计算。

5.根据权利要求4所述的方法，其特征是所述S2各方选择陷门份额，并通过分布式协议正确计算出与聚合公钥对应的哈希碰撞。

6.一种基于离散对数的多重变色龙哈希系统，其特征是所述的系统使用权1所述的方法。