CN116743395A - 一种基于格密码的门限环签名方法 - Google Patents

Abstract

本发明提供了一种基于格密码的门限环签名方法，包括密钥生成算法、签名算法及验证算法。密钥生成算法包括生成用户的私钥和公钥；签名算法包括选择领导者进行聚合、分发挑战并输出最终的签名；验证算法验证签名是否由t个签名者合法生成。其中签名的过程通过带中止Fiat‑Shamir范式(FSwA)构造，包括承诺‑挑战‑响应三轮，由用户与领导者交互完成，生成的N个响应中包含t个真实签名和N‑t个用空私钥生成的伪签名。本发明避免了现有后量子门限环签名方法可靠性误差大的问题，从而实现了较短的签名长度。此外，本发明实现了强匿名性、可扩展性以及不可确认性和不可否认性的诸多良好的性质。

Description

一种基于格密码的门限环签名方法

技术领域

本发明涉及密码学隐私保护领域，尤其涉及一种基于格密码的门限环签名方法。

背景技术

环签名的概念最早由Rivest、Shamir和Tauman提出，并基于RSA进行了实例化。环签名允许用户动态选择一组公钥(包括自己)，并代表该组进行匿名签名，而不会透露真正的签名者。它被广泛地应用于Monero等加密货币中，提供完全匿名性，与比特币等加密货币仅具有伪匿名性相比，有着显著优势。

Bresson、Stern和Szydlo将环签名推广到门限环签名，N个签名者中的t个以匿名方式共同产生一个签名，而不会透露这组签名者是谁，此后亦有多个门限环签名方案被提出，如基于数论假设或编码理论的方案，它们有着复杂度较高、可靠性误差大的问题。

量子计算机的出现对经典密码体系造成了体系冲击，近年来量子计算机实用化的进程不断推进，使得在现实中攻破经典密码体系趋于可能。如何应对量子计算机的威胁，是最近十多年来密码学界研究的热点问题。基于格的密码体系由于具备代数操作简单、渐进效率高、可归约到最坏情况困难问题以及支持全同态加密等高级密码学原语构造的优点，受研究者广泛关注。因此，研究基于格的后量子门限环签名具有重要意义，尽管如此，很少有基于格的门限签名被提出。

为此，有必要研发一种门限环签名方法，以满足抗量子计算安全性，同时解决现有门限环签名方法可靠性误差大、签名长度大的问题。

发明内容

为了克服现有技术的不足提供了一种基于格密码的门限环签名方法，本发明的具体技术方案如下：

一种基于格密码的门限环签名方法，其包括密钥生成算法、签名算法以及验证算法。密钥生成算法包括根据BLISS签名的密钥生成算法生成多项式向量x_i＝(x_i，1，x_i，2)∈R^{2 ×1}以及多项式向量满足a_ix_i＝q mod 2q，分别作为用户i的私钥和公钥。

签名算法包括选择领导者进行聚合、分发挑战并输出最终的签名，签名的过程包括三轮：

第一轮，对于所有用户领导者/>从离散高斯分布/>选择向量u_i＝(u_i，1，u_i，2)以及从离散高斯分布/>中选择辅助随机向量r_i，计算承诺值/> 其中承诺密钥ck＝H(μ，param)由哈希函数H计算得到；

第二轮，对于所有用户签名者/>从离散高斯分布/>中选择向量u_i＝(u_i，1，u_i，2)以及从离散高斯分布/>中选择辅助随机向量r_i，计算承诺值/> 签名者/>秘密地发送/>给领导者/>领导者/>计算承诺值的和后，再计算挑战值/>并分发给/>中的每个签名者；

第三轮，对于所有用户签名者/>根据私钥x_i以及挑战值c，计算签名z_i＝(-1)^bcx_i+u_i，/>使用拒绝采样操作，输入参数(cx_i，z_i)，以概率/> 决定是否发送签名值z_i以及随机向量r_i给领导者/>若否，则重新开始回到签名的第2轮；对于所有/>领导者/>计算非签名者的伪签名z_i＝u_i。最后，/>输出门限环签名/>

其中，R以及R_2q均为多项式环，q为模数，系统参数param包含 表示N个用户的集合，分别以1，2，…，N表示，/>表示t个签名者的集合，Com_ck(·，·)是满足加法同态性质的陷门承诺算法，哈希函数H的输入为待签名消息μ和系统参数param，比特b从(0，1}中随机选取，exp(x)表示自然对数e的x次幂，||·||表示欧几里得范数，cosh(·)表示双曲余弦函数，<·，·>表示向量内积，/>包含t个有效的BLISS签名和N-t个用空私钥签名的伪签名，/>为承诺值的和，r为辅助随机向量之和，M表示单个用户成功时所期望的重启次数，s²表示方差。

所述基于格密码的门限环签名方法还包括验证算法，所述验证算法包括：

验证者检查对于所有/>签名值z_i是否满足||z_i||≤B；

验证者计算挑战值/>后，再检查/> 若相等，则签名验证成功。

其中，B表示预设常数，用于限定合法签名 的最大欧几里得范数，设定为/>式中参数γ＞1使得/>是可忽略的(在实际中，γ∈[1.1，1.4])，从而||z_i||＞B的概率是可忽略的，s表示标准差，n表示多项式环/>中分圆多项式f(X)的次数。

本发明还提供一种计算机可读存储介质，其存储有计算机程序，当所述计算机程序被处理器执行时实现所述的基于格密码的门限环签名方法。

本发明所取得的有益效果包括：

1.本发明采用BLISS签名的认证协议构造，避免了现有门限环签名方法可靠性误差大的问题，进而实现了更短的签名长度。

2.采用加法同态陷门承诺，解决了格上Fiat-Shamir转换的中止问题导致的安全性证明问题，并带来了一个额外的收益，t个签名可以聚合起来，从而使签名长度与t无关，签名更短并且验证效率更高。

3.本发明满足可扩展性性质，即允许环成员随时将自己添加到已经创建的门限环签名的签名集合中，从而动态地扩展门限值t。

4.本发明还实现了强匿名性，只需要求领导者是弱可信的，即不泄露(最后签名的一部分)中的所有个体承诺/>。

5.本发明满足不可确认性和不可否认性，从而对强匿名性起到了一个辅助作用。

附图说明

从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制，而是将重点放在示出实施例的原理上。在不同的视图中，相同的附图标记指定对应的部分。

图1为本发明的一种基于格密码的门限环签名方法的密钥生成算法流程图；

图2为本发明的一种基于格密码的门限环签名方法的签名算法流程图；

图3为本发明的一种基于格密码的门限环签名方法的验证算法流程图。

具体实施方式

为了使得本发明的目的、技术方案及优点更加清楚明白，以下结合其实施例，对本发明进行进一步详细说明；应当理解，此处所描述的具体实施例仅用于解释本发明，并不用于限定本发明。对于本领域技术人员而言，在查阅以下详细描述之后，本实施例的其它系统、方法和/或特征将变得显而易见。旨在所有此类附加的系统、方法、特征和优点都包括在本说明书内、包括在本发明的范围内，并且受所附权利要求书的保护。在以下详细描述描述了所公开的实施例的另外的特征，并且这些特征根据以下将详细描述将是显而易见的。

本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描述中，需要理解的是，若有术语“上”、“下”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或组件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本专利的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

环签名的概念最早由Rivest、Shamir和Tauman提出，并基于RSA进行了实例化。环签名允许用户动态选择一组公钥(包括自己)，并代表该组进行匿名签名，而不会透露真正的签名者。它被广泛地应用于Monero等加密货币中，提供完全匿名性，与比特币等加密货币仅具有伪匿名性相比，有着显著优势。

在构造环签名的研究中形成了两大主流技术。第一大主流技术即经典的环签名，其通过从验证函数中依次计算N-1个“伪签名”，并使用签名者的私钥来计算真实签名，从而构建一个环结构；第二大主流技术的思路是使用累加器或零知识证明。累加器允许签名者提供证明，证明其公钥在N个公钥的集合中，这些公钥被压缩成一个固定大小的值；另一种方法是通过使用1-out-of-N证明拥有集合中的某个公钥对应的私钥。

Bresson、Stern和Szydlo将环签名推广到门限环签名，N个签名者中的t个以匿名方式共同产生一个签名，而不会透露这组签名者是谁，此后亦有多个门限环签名方案被提出，如基于数论假设或编码理论的方案，它们有着复杂度较高、可靠性误差大以及签名长度较大等问题；在格密码中，Cayrel,Lindner,Ruckert和Silva提出了与Melchor,Cayrel和Gaborit基于编码方案相对应的格版本方案，他们所采用的CLRS身份认证协议(即由Cayrel,Lindner,Ruckert和Silva提出的身份认证协议)类似于基于编码方案中Stern身份认证。Bettaieb和Schrek通过使用另一个CLRS挑战-应答证明来处理匿名性，改进了签名长度。然而，上述方案都采用了类Stern身份认证协议，具有1/2的可靠性误差。最近，Haque和Scafuro基于陷门承诺和门限秘密共享方案，提出了量子随机预言机模型(QROM)下门限环签名的一般构造，然而其不具有可扩展性。

近年来门限签名和环签名的研究被区块链等许多新的应用所激活。最近的一些工作研究了ECDSA和Schnorr的门限版本，然而，这些方案都不能抵御量子计算攻击。构造门限签名的主要动机之一是降低密钥泄露或丢失的风险，这种风险可能以各种方式出现，如单个设备损坏。此外，门限签名在需要多个用户共同决策的场景中也具有重要应用，如签名者需要达到一定的数量t，才能通过某项决议。在这些应用中，往往需要同时满足匿名性。虽然环签名提供了完全的匿名性，然而，在环签名中很难实现门限特征。过往的后量子门限环签名多是基于使用编码密码学的Stern-like繁琐零知识证明，由于高可靠性误差导致签名长度较大；相对而言，在数论领域的进展与成果会更为丰富，引入了可扩展性和强匿名性等概念。

量子计算机的出现对经典密码体系造成了体系冲击，近年来量子计算机实用化的进程不断推进，使得在现实中攻破经典密码体系趋于可能。如何应对量子计算机的威胁，是最近十多年来密码学界研究的热点问题。基于格的密码体系由于具备代数操作简单、渐进效率高、可归约到最坏情况困难问题以及支持全同态加密等高级密码学原语构造的优点，受研究者广泛关注。因此，研究基于格的后量子门限环签名具有重要意义，尽管如此，很少有基于格的门限签名被提出。

在后量子领域，Bansarkhani和Sturm提出了第一个遵循FSwA(Fiat-Shamir withAbort)范式的多重签名，最近又提出了多个变体。然而，正如等人所述，因为基于格的设置中Fiat-Shamir范式的中止问题，所有这些协议的安全证明要么是不完整，要么就是要依赖于非标准的困难假设。/>等人利用Baum等人的加法同态承诺方案来规避中止所带来的问题，构建了具有完整安全性证明的N-out-of-N分布式签名方案和多重签名方案。他们还为承诺添加了一个陷门，从而将他们方案的轮复杂度降低到两轮。本发明构造的门限环签名也需要解决FSwA范式带来的安全性证明问题。

为了解决上述所提出的问题，本发明提供一种基于格密码的门限环签名方法，如图1-图3所示，其包括密钥生成算法、签名算法以及验证算法。

所示基于格密码的门限环签名方法中的参数设置及符号说明如下：

■N＝100，t＝10，令m＝512，q＝12289，s＝107，κ＝23，B＝12872；

■R，R_q分别定义为多项式环 其中，Z[X]以及Z_q[X]表示次数不限的整系数多项式环，q是模数，f(X)定义为f(X)＝Xⁿ+1，是第2n个分圆多项式；

■令表示N个用户的集合{1，2，…，N}，/>表示t个签名者的集合，其中/>t；

■表示选择的领导者来进行聚合、分发挑战操作并输出最终的签名，/>表示验证者；

■密钥集合由小多项式S_η＝{x∈R：||x||_∞≤η}组成，并由整数η≥0参数化；

■挑战集由小而稀疏的多项式组成：C＝{c∈R：||c||_∞＝1∧||c||₁＝κ}，并由整数κ≥0参数化；

■SHA3-512哈希函数H₀：{0，1}^*→C，映射到挑战集C上；

■SHA3-512哈希函数映射为多项式环R_q上的m’维向量；

■||·||_∞表示无穷范数，||·||₁表示曼哈顿范数，||·||表示欧几里得范数；

■对于x∈R^m，表示v∈R^m，s∈R的高斯函数，离散高斯分布/>以v作为中心，定义为/>其中/> 如果中心v＝0则简写为/>

■向量，粗斜黑体小写字母，如x，a，u，r；

■矩阵，粗斜黑体大写字母，如A；

■表示从高斯分布/>中随机选取一个辅助随机向量r；

■exp(x)表示自然对数e的x次幂；

■cosh()表示双曲余弦函数，输入x，输出

■<z，x>表示向量内积，即标量积z₁x₁+z₂x₂+…+z_nx_n；

■Com_ck(·，·)表示满足加法同态性质的陷门承诺算法，承诺密钥为ck，算法输入两个参数，第一个参数是承诺的消息，第二个参数是辅助的随机数。

密钥生成算法包括生成多项式向量x＝(x_i，1，x_i，2)∈R^2×1以及多项式向量满足a_ix_i＝q mod 2q，分别作为用户i的私钥和公钥。

具体而言，如图1所示，根据BLISS签名的密钥生成算法生成多项式向量x＝(x_i，1，x_i，2)∈R^2×1以及多项式向量密钥生成算法的具体步骤包括如下：给定密度参数δ₁和δ₂，选取素数q，随机生成两个n次多项式f_i和g_i，在每个多项式中有个系数取自{±1}，有/>个系数取自{±2}，其他系数均为0，若多项式f_i不可逆，则重新生成f_i和g_i。用户/>的私钥为x_i＝(x_i，1，x_i，2)^t＝(f_i，2g_i+1)^t，公钥定义为/>其中a_q＝(2g_i+1)/f_i mod q。容易验证a_ix_i＝0mod q并且a_ix_i＝1mod 2，从而a_ix_i＝q mod 2q。

如图2所示，签名算法包括选择领导者进行聚合、分发挑战并输出最终的签名，签名的过程包括三轮：

第一轮，对于所有用户即不参与签名的N-t个用户，执行以下步骤：领导者/>从离散高斯分布/>选择向量u_i＝(u_i，1，u_i，2)以及从离散高斯分布/>中选择辅助随机向量r_i，使用承诺算法计算承诺值/> 其中承诺密钥ck＝H(μ，param)由哈希函数H计算得到；

第二轮，对于所有用户即参与签名的t个用户，执行以下步骤：签名者/>从离散高斯分布/>中选择向量u_i＝(u_i，1，u_i，2)以及从离散高斯分布/>中选择辅助随机向量r_i，使用承诺算法计算承诺值/>承诺密钥ck＝H(μ，param)与第一轮一致，签名者/>秘密地发送/>给领导者/>领导者/>对收到的所有用户的承诺求和，计算承诺值的和/>后，将承诺值的和/>作为哈希函数H₀的输入之一，再计算挑战值/>并分发给/>中的每个签名者；

第三轮，对于所有用户即参与签名的t个用户，执行以下步骤：签名者/>根据私钥x_i以及挑战值c，首先采样随机比特/>计算签名z_i＝(-1)^bcx_i+u_i，/>再使用拒绝采样操作，输入参数(cx_i，z_i)，以概率/> 决定是否发送签名值z_i以及随机向量r_i给领导者/>若否，则重新开始回到签名的第2轮；对于所有即不参与签名的N-t个用户，领导者/>计算非签名者的伪签名z_i＝u_i。最后，/>输出门限环签名/>

其中，R以及R_2q均为多项式环，q为模数，系统参数param包含 表示N个用户的公钥集合，哈希函数H₀映射到挑战集C，/>表示N个用户的集合，分别以1，2，…，N表示，/>表示t个签名者的集合，Com_ck(·，·)是满足加法同态性质的陷门承诺算法，哈希函数H的输入为待签名消息μ和系统参数param，比特b从{0，1}中随机选取，exp(x)表示自然对数e的x次幂，||·||表示欧几里得范数，cosh(·)表示双曲余弦函数，<·，·>表示向量内积，/>包含t个有效的BLISS签名和N-t个用空私钥签名的伪签名，为承诺值的和，r为辅助随机向量之和，M表示单个用户成功时所期望的重启次数，s²表示方差。

所述基于格密码的门限环签名方法还包括验证算法，如图3所示，所述验证算法包括如下步骤：输入签名σ，验证者首先检查对于所有/>签名值z_i是否满足||z_i||≤B；验证者/>再调用哈希函数H₀，输入承诺值的和/>与消息μ，计算挑战值后，再检查/> 若相等，则签名验证成功。

其中，B表示预设常数，用于限定合法签名 的最大欧几里得范数，设定为/>式中参数γ＞1使得/>是可忽略的(在实际中，γ∈[1.1，1.4])，从而||z_i||＞B的概率是可忽略的，s表示标准差，n表示多项式环/>中分圆多项式f(X)的次数。

本发明避免采用可靠性误差大的Stern-like认证协议，而是采用了Lyubashevsky的身份认证协议，同时使用加性同态承诺方法解决了格中带中止Fiat-Shamir范式导致的安全性证明问题，成功得到了一个签名长度更短的门限环签名，解决了Cayrel、Lindner、Ruckert和Silva所提出的问题。

本发明还提供一种计算机可读存储介质，其存储有计算机程序，当所述计算机程序被处理器执行时实现上述的基于格密码的门限环签名方法。

综上所述，本发明所取得的有益效果包括：

1.本发明采用BLISS签名的认证协议构造，避免了类Stern身份认证协议可靠性误差较大的问题，实现了更短的签名长度，解决了Cayrel、Lindner、Ruckert和Silva所提出的问题。类Stern身份认证协议，如格中的CLRS认证协议，具有1/2的可靠性误差，因此需要重复128次以上，才能使可靠性误差下降为一个可忽略的值如2^-128，而本发明采用的认证协议只需要执行一次。

2.等人在2021年提出的，分布式FSwA签名由于存在中止问题，无法完全证明其安全性。本发明采用加法同态陷门承诺，解决了格上Fiat-Shamir转换的中止问题导致的安全性证明问题，并带来了一个额外的收益，t个签名可以聚合起来，从而使签名长度与t无关，与Bettaieb和Schrek的方案相比，签名更短并且验证效率更高。

3.本发明满足可扩展性(flexibility)性质，即允许环成员随时将自己添加到已经创建的门限环签名的签名集合中，从而动态地扩展门限值t。具体来说，可以通过将z_i＝u_i替换为z_i＝(-1)^bcx_i+u_i来扩大方案中的门限值,由于二者具有相同的分布，故此替换不会影响签名者的匿名性。

4.本发明还实现了强匿名性，只需要求领导者是弱可信的，即不泄露(最后签名的一部分)中的所有个体承诺/>而Bettaieb和Schrek的方案依赖于领导者对t个认证进行置换，要求领导者是完全可信的。

5.本发明满足不可确认性和不可否认性。不可确认性是指用户无法证明他/她参与了特定签名的生成，而不可否认性是指用户无法证明他/她没有参与特定签名的生成。这两个性质对强匿名性起到了一个辅助作用。

虽然上面已经参考各种实施例描述了本发明，但是应当理解，在不脱离本发明的范围的情况下，可以进行许多改变和修改。也就是说上面讨论的方法，系统和设备是示例。各种配置可以适当地省略，替换或添加各种过程或组件。例如，在替代配置中，可以以与所描述的顺序不同的顺序执行方法，和/或可以添加，省略和/或组合各种部件。而且，关于某些配置描述的特征可以以各种其他配置组合，如可以以类似的方式组合配置的不同方面和元素。此外，随着技术发展其中的元素可以更新，即许多元素是示例，并不限制本公开或权利要求的范围。

在说明书中给出了具体细节以提供对包括实现的示例性配置的透彻理解。然而，可以在没有这些具体细节的情况下实践配置例如，已经示出了众所周知的电路，过程，算法，结构和技术而没有不必要的细节，以避免模糊配置。该描述仅提供示例配置，并且不限制权利要求的范围，适用性或配置。相反，前面对配置的描述将为本领域技术人员提供用于实现所描述的技术的使能描述。在不脱离本公开的精神或范围的情况下，可以对元件的功能和布置进行各种改变。

综上，其旨在上述详细描述被认为是例示性的而非限制性的，并且应当理解，以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后，技术人员可以对本发明作各种改动或修改，这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (3)

1.一种基于格密码的门限环签名方法，其特征在于，所述基于格密码的门限环签名方法包括密钥生成算法、签名算法以及验证算法；

密钥生成算法包括生成多项式向量x_i＝(x_i,1,x_i,2)∈R^2×1以及多项式向量满足a_ix_i＝q mod 2q，分别作为用户i的私钥和公钥；

签名算法包括选择领导者进行聚合、分发挑战并输出最终的签名，签名的过程包括三轮：

第一轮，对于所有用户领导者/>从离散高斯分布/>选择向量u_i＝(u_i,1,u_i,2)以及从离散高斯分布/>中选择辅助随机向量r_i，计算承诺值/> 其中承诺密钥ck＝H(μ,param)由哈希函数H计算得到；

第二轮，对于所有用户签名者/>从离散高斯分布/>中选择向量u_i＝(u_i,1,u_i,2)以及从离散高斯分布/>中选择辅助随机向量r_i，计算承诺值/> 签名者/>秘密地发送/>给领导者/>领导者/>计算承诺值的和后，再计算挑战值/>并分发给/>中的每个签名者；

第三轮，对于所有用户签名者/>根据私钥x_i以及挑战值c，计算签名z_i＝(-1)^bcx_i+u_i，/>使用拒绝采样操作，输入参数(cx_i,z_i)，以概率/> 决定是否发送签名值z_i以及随机向量r_i给领导者/>若否，则重新开始回到签名的第2轮；对于所有/>领导者/>计算非签名者的伪签名z_i＝u_i，最后，/>输出门限环签名/>

其中，R以及R_2q均为多项式环，q为模数，系统参数param包含 表示N个用户的集合，分别以1,2,…,N表示，/>表示t个签名者的集合，Com_ck(·,·)是满足加法同态性质的陷门承诺算法，哈希函数H的输入为待签名消息μ和系统参数param，比特b从{0,1}中随机选取，exp(x)表示自然对数e的x次幂，||·||表示欧几里得范数，cosh(·)表示双曲余弦函数，<·,·>表示向量内积，/>包含t个有效的BLISS签名和N-t个用空私钥签名的伪签名，/>为承诺值的和，r为辅助随机向量之和，M表示单个用户成功时所期望的重启次数，s²表示方差；

验证算法用于验证签名是否由t个签名者合法生成，验证过程包括：

验证者检查对于所有/>签名值z_i是否满足||z_i||≤B；

验证者计算挑战值/>后，再检查/> 若相等，则签名验证成功；

其中，B表示预设常数，用于限定合法签名的最大欧几里得范数，设定为式中参数γ>1，s表示标准差，n表示多项式环/>中分圆多项式f(X)的次数。

2.如权利要求1所述的一种基于格密码的门限环签名方法，其特征在于，根据BLISS签名的密钥生成算法生成多项式向量x_i＝(x_i,1,x_i,2)∈R^2×1以及多项式向量满足a_ix_i＝q mod 2q。

3.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，当所述计算机程序被处理器执行时实现如权利要求1-2任一项所述的基于格密码的门限环签名方法。