CN1547342A

CN1547342A - 基于整数环上矩阵经典分解问题的公钥密码算法

Info

Publication number: CN1547342A
Application number: CNA2003101171663A
Authority: CN
Inventors: 郑建德
Original assignee: Individual
Current assignee: Individual
Priority date: 2003-12-04
Filing date: 2003-12-04
Publication date: 2004-11-17

Abstract

一种新的公钥密码算法，其特点是：(a)具有简单快速的解密算法，易于采用运算能力较弱的国产CPU或集成规模较低的国产芯片实现；(b)具有自托管功能，可减小密钥管理的代价。本发明的解密算法逻辑可以与RSA加密算法逻辑封装在一个硬件密码器中。这种硬件密码器的特点是对微处理器的运算能力或芯片的集成规模要求不高，但在客户－服务器应用体系中能够作为独立的客户端，与服务器实现双向身份验证和双向数据加密通讯，适用于“居民卡”等实体鉴别系统。

Description

基于整数环上矩阵经典分解问题的公钥密码算法

一、技术领域

本发明属于信息加密领域，特别涉及一种适用于小型电子设备的快速公钥密码算法。

二、背景技术

密码算法是信息安全的核心技术，重要的密码算法都被授予过专利。目前国际上使用较多的公钥密码算法主要有基于因数分解问题的RSA和Rabin公钥密码算法、基于离散对数问题的ElGamal公钥密码算法以及基于椭圆曲线离散对数问题的公钥密码算法。

如何防止私钥泄密是公钥密码算法推广应用中的一个至关重要的问题。采用可随身携带的小型硬件如IC-卡和USB-卡存储私钥，避免将其放在计算机硬盘中是提高私钥保密性的一个有效措施。但是，如果不能在硬件密码器中完成所有与私钥相关的运算，而需要在解密过程中把私钥调入主机内存，则私钥通过主机被窃取的危险性依然存在。由于现有公钥密码算法多依赖大指数乘方运算实现解密，其计算量大，目前还缺乏合适的国产CPU或国产集成芯片可用于制作这类普及型硬件密码器。虽然市场上有可用的进口产品，但价格偏高，也不利于我国建立自主的信息安全体系。故我国“十五”863计划把研制具有自主知识产权的公钥密码芯片和设计可证明安全性的新密码体制作为重点课题列入信息安全技术主题和超大规模集成电路设计专项。

三、发明内容

本发明需要解决的技术问题是研究出一种新的公钥密码算法，使之：(a)具有简单快速的解密算法，易于采用运算能力较弱的国产CPU或集成规模较低的国产芯片制作硬件密码器；(b)具有自托管功能，可减小私钥托管的代价。本发明的目的，是采用以下技术方案来实现的，其特征是：

(a)选择整数环Z_n作为密码算法的定义域，其中模数n取为两个秘密大数素的积，n＝pq，模数n的因子p和q用作系统密钥，由密钥中心保管；

(b)每个用户以整数α、y和一个定义在Z_n上的，通过相似变换可以对角化的r阶矩阵A作为公钥，其中

A＝Hdiag(λ₁，λ₂，...λ_r)H^-1(mod n)， (1)

y＝λ₁ ^αx(mod n)， (2)r＞1，H是一个在Z_n上可逆的矩阵，x可取为x＝g(λ₁，λ₂，...λ_r)(mod n)，g是一个公开的、难以求逆的函数，λ₁，λ₂，...λ_r保密，用作用户私钥；

(c)信息m的密码取为c₁和c₂，其中c₁是一个r×1矩阵，c₂是一个整数，它们按以下公式计算：

c₁＝A^αkb(mod n)， (3)

c₂＝y^-km(mod n)， (4)其中k是一个由加密方产生的秘密随机数，b是一个r×1常数矩阵，m是被加密的信息；

(d)解密时，先记

A^αk＝Hdiag(μ₁，μ_2，r)H^-1(mod n)； (5)其中μ_i＝λ_i ^αk，H可由λ₁，λ₂，...λ_r确定，联立(3)和(5)可解出μ₁，μ_2，r，从而算出

m＝y^kc₂(mod n)

＝λ₁ ^αxkc₂(mod n)

＝μ₁ ^xc₂(mod n)。 (6)

本发明的有益效果是可以用一个很小的x实现很高的信息保密强度，从而有效提高解密效率，使之能够降低开发硬件密码器对芯片集成技术的要求，为采用国产化产品满足我国电子商务和电子政务的需求提供一项实用的新技术。将本发明的解密算法逻辑和RSA的加密的算法逻辑封装在一起可以构成一种互补公钥算法实体鉴别密码器。这种硬件密码器的特点是对微处理器的运算能力或芯片的集成规模要求不高，造价低廉，在客户-服务器应用体系中能够作为独立的客户端，与服务器实现双向身份验证，特别适用于“市民卡”等电子政务应用。

本发明提供的公钥密码体制还具有自托管能力，密钥管理中心只要保管一个系统主钥，就能够从用户公钥恢复其相应的私钥，从而以较小的代价解决电子商务和电子政务系统中的密钥管理问题。

四、附图说明

附图是实施本发明所需要的模块及其相互之间逻辑关系的框图。

五、具体实施方式

以下结合附图，对本发明的具体实施方法作进一步的说明。

(一)系统密钥产生及公共摸数制作。该模块产生秘密素数p和q，并计算公共模数n＝pq。该模块的操作应在严密的监控下进行。系统密钥由密钥托管中心保管。

(二)用户密钥制作。首先采用随机数发生器生成秘密随机数λ₁，λ_2，r，并按以下公式计算用户公钥σ₁，σ_2，r，

σ₁＝(λ₁+λ₂+...+λ_r)(mod n)， (7)

σ₂＝(λ₁λ₂+λ₁λ₃+.....₁λ_rλ₂λ₃+.....₂λ_r+....._r-1λ_r)(mod n)， (8)

σ₃＝(λ₁λ₂λ₃+λ₁λ₃λ₄+.....₁λ_r-1λ_r+λ₂λ₃λ₄+.....₂λ_r-1λ_r+....._r-2λ_r-1λ_r)(mod n)，(9)

…

σ_r＝(λ₁λ_2r)(mod n)， (10)公钥矩阵A可取为其特征多项式

(λ)＝[λ^r-σ₁λ^r-1+σ₂λ^r-2-...+(-1)^rσ_r](mod n) (11)的伴随矩阵，以减少公钥数据量。

(三)加密。本模块先采用随机数发生器生成秘密随机数k，再按(3)和(4)计算信息m的密码c₁和c₂。

(四)解密。主要步骤有：

1.根据私钥确定H，并从c₁中解出μ₁＝λ₁ ^αk；

2.根据(6)从c₂恢复明文。

(五)用户私钥恢复。密钥中心利用所掌握的模数n的因子p和q，可根据中国剩余定理以及Galois域上的多项式分解算法(如Cantor-Zassenhaus算法)，通过求解方程

det(λI-A)＝[λ^r-σ₁λ^r-1+σ₂λ^r-2-...+(-1)^rσ_r](mod n)＝0， (12)从公钥矩阵A恢复私钥λ₁，λ_2，r。当r＝2时，也可直接采用Rabin解密算法获得λ₁和λ₂。

(六)硬件密码器。由于RSA加密的算法逻辑与本发明的解密算法逻辑基本相同，且其加密计算量也与本发明的解密计算量相当，故可以在一个硬件密码器中同时封装以上两种算法逻辑。这种硬件密码器的特点是对微处理器的运算能力或芯片的集成规模要求不高，在客户-服务器应用体系中能够作为独立的客户端，与服务器实现双向身份验证和双向数据加密通讯，适用于“居民卡”等实体鉴别系统。

Claims

1.一种基于整数环上矩阵经典分解问题的公钥密码算法，其特征在于：

(a)选择整数环Z_n作为密码算法的定义域，其中模数n取为两个秘密大数素的积，n＝pq，模数n的因子p和q用作系统密钥；

A＝Hdiag(λ₁，λ₂，...λ_r)H^-1(mod n)， (1)

y＝λ₁ ^αx(mod n)， (2)r＞1，H是一个在Z_n上可逆的矩阵，λ₁，λ₂，...λ_r保密，和x一起用作用户私钥；

c₁＝A^αkb(mod n)， (3)

c₂＝y^-k(mod n)， (4)其中k是一个由加密方产生的秘密随机数，b是一个r×1常数矩阵，m是被加密的信息；

(d)解密时，先记

A^αk＝Hdiag(μ₁，μ₂，_r)H^-1(mod n)； (5)其中μ_i＝λ_i ^αk，H可由λ₁，λ₂，...λ_r确定，联立(3)和(5)可解出μ₁，μ₂，_r，从而算出

m＝y^kc₂(mod n)

＝λ₁ ^αxkc₂(mod n)

＝μ₁ ^xc₂(mod n)。 (6)

2.如权利要求1所述的公钥密码算法的私钥恢复技术，其特征在于密钥中心利用所掌握的模数n的因子p和q，根据中国剩余定理以及Galois域上的多项式分解算法(如Cantor-Zassenhaus算法，或Rabin算法)，通过求解方程

det(λI-A)＝0， (12)

从公钥矩阵A恢复私钥λ₁，λ₂，_r。

3.一种采用互补公钥密码算法的实体鉴别密码器，其特征在于同时实现如权利要求1所述的公钥密码算法的解密算法逻辑和RSA等现有公钥密码算法的加密算法逻辑，以降低对微处理器的运算能力或芯片的集成规模的要求，在客户-服务器应用体系中作为独立的客户端，与服务器实现双向身份验证和双向数据加密通讯。