CN1419357A - 一类基于矩阵经典分解问题的公钥密码体制 - Google Patents

Abstract

一类公钥密码体制，以公钥矩阵的经典分解问题，即通过相似变换把公钥矩阵转化为对角型以及约当(Jordan)标准型的问题的难度保证加密运算的单向性。其优势在于具有比现有公钥密码体制更高的加、解密效率，并且具有内置私钥备份或私钥托管能力，可避免现有公钥密码体制需要为私钥备份或私钥托管付出的昂贵代价。

Description

一类基于矩阵经典分解问题的公钥密码体制

                       一、技术领域

本发明属于信息加密领域，特别涉及到一类基于矩阵经典分解的公钥密码体制。

                       二、背景技术

目前国际上通用的公钥密码体制主要有三类，包括基于因数分解问题的公钥密码体制(如RSA和Rabin)、基于离散对数问题的公钥密码体制(如Diffe-Hellman和ElGamal)以及基于椭圆曲线离散对数问题的公钥密码体制。研制新的公钥密码体制这一课题的提出是因为：

(a)现有公钥密码体制的加、解密计算量巨大，难以在简单设备如IC卡中实现；

(b)现有公钥密码体制需要外部系统解决用户私钥的备份或托管问题。前者是为了防止私钥丢失造成密文不可恢复，后者则是为了防止不法分子利用加密技术躲避社会监控。由于用户私钥敏感性高、数量多，变化快，收集、保存和更新私钥拷贝需要复杂的流程和大量的资源，私钥备份或托管的代价十分昂贵。

                       三、发明内容

本发明需要解决的技术问题是研究出一类新的公钥密码体制，使之：(a)具有简单的加、解密算法，能够在简单设备中实现；(b)提供内置的私钥备份或托管能力，以减少私钥备份或托管的代价。本发明的目的，是采用以矩阵经典分解问题的复杂性来保障公钥密码体制的安全性这一技术方案来实现的，其特征是：(a)以一个矩阵的随机系数多项式对信息进行加密；(b)以该矩阵的经典分解问题，即通过相似变换把矩阵转化为对角型以及约当(Jordan)标准型的问题的难度保证信息加密运算的单向性；(d)以该矩阵的特征值或加密运算模数提供逆向解密难题的陷门。

本发明的有益效果是能够提高公钥密码体制的加、解密效率，并且能够避免现有公钥密码体制需要为私钥备份或私钥托管付出的昂贵代价。

                       四、附图说明

图1是表示本发明主要组成部分及其相互之间逻辑关系的框图；

图2是采用本发明构成的一个公钥基础设施的示意图。

                     五、具体实施方式

以下结合附图，对本发明的具体实施，包括托管密钥与加密运算模数产生、用户密钥制作及一些算法参数的预先计算、加密、解密、签名及其验证、用户私钥恢复的方法进行详细的说明。(一)托管密钥与加密运算模数产生

1.如图2所示，密钥分配中心的秘密因素生成系统产生成对的秘密素数作为托管密钥，并存入私钥解密机。假定p和q是一对秘密素数，(p，q)构成一把托管密钥，而n＝pq则被用作一个用户群体的加密运算模数，提交给密钥分配中心(KDC)的模数发布系统。本密码体制的托管密钥不是用户私钥的拷贝，与用户私钥无关，可以共享。如果全部用户采用同一个加密运算模数，则一把托管密钥就可以解决所有用户的密钥托管或备份问题。

2.模数发布系统采用CA的根证书对模数进行签名，并通过各种介质向不同的用户群体提供指定的模数。经签名后的模数也可以放入网站，供用户自己下载。

3.用户通过模数发布系统取得指定的模数并投入使用后，对应的托管密钥即被激活。

有公知的技术可供完成以上托管密钥的产生与激活过程。(二)用户密钥制作及一些算法参数的预先计算

1.选取两个正整数λ₁和λ₂作为私钥，要求gcd(λ₁-λ₂，n)＝1。

2.按如下公式计算两个正整数σ₁和σ₂作为公钥：

  σ₁＝(λ₁+λ₂)(mod n)                                              (1)

  σ₂＝(λ₁λ₂)(mod n)                                               (2)

3.根据密钥构造如下特征多项式：

  Ψ(λ)＝(λ-λ₁)²(λ-λ₂)²(mod n)

        ＝(λ²-σ₁λ+σ₂)²(mod n)

        ＝[λ⁴-2σ₁λ³+(2σ₂+σ₁ ²)λ²-2σ₁σ₂λ+σ₂ ²](mod n)    (3)并计算其伴随矩阵A： $\left[\begin{array}{cccc}{2\mathrm{\σ}}_1& {-2\mathrm{\σ}}_2-{{\mathrm{\σ}}_1}^2& {2\mathrm{\σ}}_1{\mathrm{\σ}}_2& -{{\mathrm{\σ}}_2}^2\\ 1& & & 0\\ & 1& & 0\\ & & 1& 0\end{array}\right]\left(\mathrm{mod}n\right)----\left(4\right)$ A是一个可预先计算的加、解密算法公开参数。

4.根据私钥按如下公式计算矩阵H： $\left[\begin{array}{cccc}{{\mathrm{\λ}}_1}^3& {{3\mathrm{\λ}}_1}^2& {{\mathrm{\λ}}_2}^3& 3{{\mathrm{\λ}}_2}^2\\ {{\mathrm{\λ}}_1}^2& {2\mathrm{\λ}}_1& {{\mathrm{\λ}}_2}^2& {2\mathrm{\λ}}_2\\ {\mathrm{\λ}}_1& 1& {\mathrm{\λ}}_2& 1\\ 1& & 1& \end{array}\right]\left(\mathrm{mod}n\right)----\left(5\right)$ H及其逆H^-1是可以预先计算的解密算法保密参数。

5.按如下公式计算两个向量b₁和b₂：

b₁＝[2σ₁σ₁ ²-2σ₂σ₁ ³-3σ₁σ₂]^T    (6)

b₂＝[1 1 1 1]^T                               (7)b₁和b₂是可以预先计算的加、解密算法公开参数，

H^-1b₁(mod n)＝[1 0 1 0]^T                    (8)令

H^-1b₂(mod n)＝[β₁β₂β₃β₄]^T          (9)β₁，β₂，β₃，β₄是可以预先计算的解密算法保密参数，λ₁和_λ2的选择应满足：

β_i≠0，i＝1，2，3，4                          (10)

5.运算模数n取为模数发布系统提供的合数，其素数因子作为托管密钥由密钥分配中心保管。(三)加密

1.先产生4个秘密随机正整数k₁，k₂，k₃，k₄，并采用如下公式构造一个随机矩阵Y：

Y＝(k₁A³+k₂A²+k₃A+k₄I)(mod n)

 ＝(A(A(k₁A+k₂I)+k₃I)+k₄I)(mod n)          (11)

2.计算

d＝(Y²b₁+Yb₂)(mod n)                     (12)

3.采用Y对用户信息进行加密，或计算YTY的迹

κ＝tr(Y^TY)(mod n)                          (13)作为会话密钥，并以公知的对称密码算法获取用户信息密文。

5.假定用户信息密文为C，以二元组(C，d)作为完整的密文。(四)解密

解密的基本原理是Y可表示为 $\left[\begin{array}{cccc}{\mathrm{\μ}}_1& {\mathrm{\μ}}_3& & \\ & {\mathrm{\μ}}_1& & \\ & & {\mathrm{\μ}}_2& {\mathrm{\μ}}_4\\ & & & {\mathrm{\μ}}_2\end{array}\right]H^{-1}\left(\mathrm{mod}n\right)----\left(14\right)$ 在方程(12)两边同时左乘H^-1将其简化，在简化后的方程中可拆出4个标量方程，其中2个标量方程为线性方程，从中可解出μ₁和μ₂，把它们代入其余标量方程可解出μ₃和μ₄，从而确定Y或算出会话密钥。具体步骤为：

1.计算

H^-1d(mod n)＝[δ₁δ₂δ₃δ₄]^T                 (15)

2.计算

3.按(14)确定Y或按以下公式确定会话密钥κ：

κ＝tr(Y^TY)(mod n)

  ＝(2μ₁ ²+2μ₂ ²+μ₃ ²+μ₄ ²)(mod n)          (17)

4.完成用户信息解密。(五)签名及其验证

以下为签名步骤：

1.把待签名信息构成一个4维向量z。

2.联立(11)和如下方程：

z＝(Y²b₁+Yb₂)(mod n)                         (18)

3.把Y表示为(14)式并代入(18)，利用H简化该方程，并采用(四)介绍的方法解出μ₁，μ₂，μ₃和μ₄，从而确定Y。

4.求解方程(11)以取得k₁，k₂，k₃，k₄，并以(k₁，k₂，k₃，k₄)作为对z的签名。

以下为签名的验证步骤：

1.按(11)由k₁，k₂，k₃，k₄算出Y。

2.计算(Y²b₁+Yb₂)(mod n)并将结果与z比较，如果相同，则接受签名，否则予以拒绝。(六)用户私钥恢复

用户私钥得以恢复的前提是用户采用合数作为加密运算的模数，且运算模数由密钥分配中心提供。用户私钥恢复步骤如下：

1.获得授权在图二所示私钥解密机内存中载入托管密钥(p，q)，p和q为用户加密运算模数n的秘密素数因子，n＝pq。

2.利用n＝pq求解

      (λ²-σ₁λ+σ₂₎(mod n)＝0              (19)以获得私钥λ₁和λ₂。在n的素数因子p和q已知的条件下，已有公知的方法可用于求解方程(19)。

以上用户私钥恢复步骤应封闭在图二所示的私钥解密机中完成。初始化完成之后，私钥解密机的输入为用户公钥，输出为授权恢复的用户私钥。托管密钥可始终留在私钥解密机中，以防泄密。

Claims (4)

1.一类公钥密码体制，其特征在于：(a)以一个矩阵的随机系数多项式对信息进行加密；(b)以该矩阵的经典分解问题，即通过相似变换把矩阵转化为对角型以及约当(Jordan)标准型的问题的难度保证信息加密运算的单向性；(d)以该矩阵的特征值或加密运算模数提供逆向解密难题的陷门。

2.如权利要求1所述的公钥密码体制的加、解密算法，其特征在于：选取两个正整数λ₁和λ₂作为私钥，并按公式(1)，(2)计算两个正整数σ₁和σ₂作为公钥；

     σ₁＝(λ₁+λ₂)(mod n)          (1)

     σ₂＝(λ₁λ₂)(mod n)           (2)根据公钥计算矩阵A： $\left[\begin{array}{cccc}{2\mathrm{\σ}}_1& -{2\mathrm{\σ}}_2-{{\mathrm{\σ}}_1}^2& {2\mathrm{\σ}}_1{\mathrm{\σ}}_2& -{{\mathrm{\σ}}_2}^2\\ 1& & & 0\\ & 1& & 0\\ & & 1& 0\end{array}\right]\left(\mathrm{mod}n\right)----\left(4\right)$ 和向量b₁：

      b₁＝[2σ₁σ₁ ²-2σ₂σ₁ ³-3σ₁σ₂]^T    (6)根据私钥计算矩阵H：加密时先产生4个秘密随机数k₁，k₂，k₃，k₄，用它们计算一个随机矩阵：

Y＝(k₁A³+k₂A²+k₃A+k₄I)(mod n)    (11)和一个向量

d＝(Y²b₁+Yb₂)(mod n)                 (12)其中

b2＝[1 1 1 1]T并以Y直接对用户信息进行加密或计算Y^TY的迹作为会话密钥，采用公知对称算法对用户信息进行加密；解密时，先把Y表示为 $\left[\begin{array}{cccc}{\mathrm{\μ}}_1& {\mathrm{\μ}}_3& & \\ & {\mathrm{\μ}}_1& & \\ & & {\mathrm{\μ}}_2& {\mathrm{\μ}}_4\\ & & & {\mathrm{\μ}}_2\end{array}\right]H^{-1}\left(\mathrm{mod}n\right)----\left(14\right)$ 再通过在方程(12)两边同时左乘H^-1将其简化，在简化后的方程中拆出4个标量方程，其中2个标量方程为线性方程，从中解出μ₁和μ₂，把它们代入其余标量方程解出μ₃和μ₄，从而确定Y或算出会话密钥，进而恢复信息明文。

3.如权利要求1或2所述的公钥密码体制的签名及其验证算法，其特征在于：对信息签名时先联立方程(11)和

     z＝(Y²b₁+Yb₂)(mod n)              (18)其中z为待签名信息构成的一个4维向量，再把Y表示为(14)式并代入(18)，利用H简化该方程，并解出μ₁，μ₂，μ₃和μ₄，从而确定Y，然后求解方程(11)以取得k₁，k₂，k₃，k₄，并以(k₁，k₂，k₃，k₄)作为对z的签名；验证签名时先按(11)计算Y，再将(Y²b₁+Yb₂)(mod n)与信息原文z比较，以判定签名的真伪。

4.如权利要求1或2所述的公钥密码体制的用户私钥托管及恢复方法，其特征在于：加密运算的模数n取为合数，由密钥分配中心统一产生，其素数因子保密并被用作托管密钥；恢复用户私钥时利用托管密钥及公知的方法求解如下方程以获得用户私钥λ₁和λ₂：

      (λ²-σ₁λ+σ₂)(mod n)＝0          (19)其中n＝pq，(p，q)是托管密钥。