CN1870499A - 产生新的多变量公钥密码系统的方法 - Google Patents

Abstract

多变量公钥密码系统(MPKC)是这样的公钥密码系统，其公钥是有限域(或环)上的一组多变量多项式。MPKC可以用于加密、认证和签名。这个发明提出了可应用于一个多变量公钥密码系统上来得到新的多变量公钥密码系统的三个方法，而且得到的新密码系统在效率和安全性上要优于原系统。这三个方法分别称为内部扰动—加(IPP)，强化的内部扰动(EIP)和多层油—醋构造(MOVC)。还可以对一个多变量公钥密码体制联合应用这三种方法中的两个或全部三个来得到新的多变量公钥密码体制。

Description

产生新的多变量公钥密码系统的方法

技术领域

本发布文档申请2005年元月11日提交的美国临时专利申请(题目：多变量公钥密码系统、序列号：60/642,838)中的优先权请求，其中包括了完整的参考资料，适用于所有目的。

背景技术

本发明与非对称密码通信处理，特别是多变量公钥密码系统(MPKC)相关，用来提供安全通信和安全认证或签名。

公钥密码系统从根本上改变了现代通信系统。这一革命性思想由Diffie和Hellman首先提出，但第一个实现了这一想法的实际可用的密码系统是Rivest、Shamir和Adleman提出的著名的RSA系统(美国专利：4,405,829，1983)。

多变量公钥密码系统是这样的一类公钥密码系统，它们的构造单元是多变量多项式，大多数情况下是二次多项式。这一方法依赖于如下被证明的定理：解有限域上多变量多项式方程组一般是NP困难问题。这个定理提供了多变量公钥密码抵抗将来量子计算机攻击的可能性，而RSA是不能抵抗量子计算机攻击的[Sp]。由于是在小的有限域上进行计算，多变量公钥密码一般比RSA要有效得多。

早期的诸如Diffie和Fell[DF]、和Shamir[Sh]构造多变量公钥密码的尝试都是失败的。

新的多变量密码系统设计1988年开始于Matsumoto和Imai[MI]。直到1995年被Patarin击败[P]，该设计一直被认为很有希望的。之后，很多新的系统正是在这一工作的启发下构建的。

1)减—加推广[CGP1]。这是所有想法中最简单的想法，即：去掉密码中的一些二次多项式分量(减方法，[Sh]中首先建议的)，并且/或者加上一些随机选取的二次多项式(加方法)。实施“减”操作的主要原因是提升安全性[SH]。(仅含“减”的)“减”方法是很适合于签名方案的，因为不需要一个文档具有唯一的签名，这一点不象解密过程。Sflash[ACDG，CGP]是一个Matsumoto-Imai-Minus(“减”的Matsumoto-Imai)密码系统。欧盟委员会的信息社会技术(Information SocietyTechnologies)计划中的NESSIE(New European Schemes for Signatures，Integrity，and Encryption)计划对它进行3年多的评价后将其选择为一个适合低成本智能卡的安全标准。

2)隐藏域方程方法(HFE)[P1]。Patarin认为这个方法是最强的。但一些新的代数攻击使用Minrank方法和Kipnis和Shamir[KS]提出的再线性化方法显示了该方法中的一个特定参数不能太小，但如果太大，系统就很慢。HFE在欧洲和美国拥有专利(美国专利：5,790,675，1998).参见[FJ]。

最近Wang，Yang，Hu and Lai提出的一个新的系统也与这一族密码有关[WYHL]。

3)油—醋方法。(平衡的)油—醋方案和不平衡的油—醋方案[P3][KPG]是签名方案的新的具体构造。Kipnis和Shamir击败了平衡方案[Sh1]。不平衡方案一般不是很有效的，因为签名长度是文档(或文档的杂凑结果)的两倍多。

4)HFEV。基本思想是在HFE方法之上，增加一些新的外部变量使得系统更复杂。这组合了HFE和油—醋方案。Ding(丁津泰)和Schmidt[DS3]最近观察到[KS]中的攻击也可用于实际地消去少量的新增加变量，进而攻击这系统。签名方案Quartz作为HFE—“减”方案，签名长度很短，为128比特[CGP2]，但是它相当慢。

另一族多变量公钥密码是T.T.Moh提出的三角型构造[M1]，它使用特殊的三角型可逆影射(温顺变换)。这个方法命名为温顺变换方法(tame transformation method，TTM)。(见美国专利：5,740,250，1998)。Courtois和Goubin使用minrank方法攻击该系统[CM]。但TTM的发明者拒绝了[CM]中的论断，给出了新的实现方案支持他们的观点。之后，Ding和Schmidt[DS1][DS2]发现，实际上所有现有的实现方案都有一个共同的缺陷使得它们不安全。最近Moh还提出了一个新方案[MCY]。

有很多使用类似但更简单想法构造签名方案(称为TTS(tamed transformationsignature))的尝试。其中的一些主要由Chen和他的合作者提出[YC][CYP]。[YCC]提出了TTS的一个新构造，但被Ding和Yin击败[DY]。[YC1]提出了另一个新版本。[WHLCY]提出了类似的构造(美国专利申请：20040151307，2004)。

内部扰动的原始思想由Ding首次提出(美国专利申请：20030215093，2003)。在文献[D]中该思想被应用于上面提到的Matsumoto-Imai系统。但这一应用被Pierre-Alain Fouque、Louis Granboulan和Jacques Stern所击败[GGS]。作为进一步的提升，我们在本申请中提出“内部扰动—加”方法。作为一例子，我们使它应用于Matsumoto-Imai系统，我们显示了它能有效地抵抗所有攻击[DG]。另一个提升是强化的内部扰动，应用于HFE[DS3]。

我们的一般多层构造首先应用于油—醋方案，建立了彩虹系统[DS4]。[YC1]和[WHLCY]都是这个一般构造的特殊例子。

发明内容

本发明包含几个提高任意MPKC产生新的更安全和有效的MPKC的方法。这些方法称为“内部扰动—加”(“internal perturbation plus”(IPP))、“强化的内部扰动”(“enhanced internal perturbation”(EIP))、和“多层油—醋构造”(“multi-layerOil-Vinegar construction”(MOVC))。可以组合地应用这些方法以产生新的MPKC。使得这些新方法特别有用的原因是，单独或组合地应用它们时，我们能够，1.产生新的更安全的MPKC，甚至将一个完全不安全的MPKC变得安全；2.新的MPKC更有效，并使得它们甚至可以在小的电子设备上工作，如智能卡、射频识别卡等等。

这些新方法可以视为MPKC的有效“修复”和“强化”工具。例如，对于1988年MATSUMOTO和IMAI发明[MI]、一个因1995年Jacques PATARIN破译[P]因而不能实际应用的密码系统，我们可以应用IPP来建立一个新的安全和很有效的MPKC，称为扰动的Matsumoto-Imai-Plus密码系统(PMI+)[DG]。

总结之，本发明包括以下几个发现：1。发明人提交了3个新方法，任何人可以将它们应用到现有MPKC以产生更安全和有效的MPKC[DG][DS3]DS4]。2。发明人显示了可以以各种方式组合这些方法来建立产生更安全和有效的MPKC的新方法。3。发明人显示了，我们以特殊方式选择某些多项式以使得MPKC更有效。

尽管本发明是用特定的具体化例子来描述的，但很清楚对于那些受过密码学训练的人来说，可以很明显地得到这些具体化例子的很多变型、替换、和修改。因此，本文档里面提供的具体化仅仅是示例性的，本发明并非局限于此，各种不偏离本发明精神和范围的的变化都在本发明的优先权请求之内。

具体实施方式

1.内部扰动—加方法(IPP)

1.1 IPP的基本思想

内部扰动—加是给本申请发明的方法中的第一类方法的名字。现在阐述IPP的基本思想，后续子节将显示IPP应用的某些特定例子，如应用于Matsumoto-Imai密码系统以产生所谓的内部扰动Matsumoto-Imai-Plus密码系统(PMI+)。

“扰动”一词用在这里的原因很类似扰动的物理意义，意指有意地给系统“改变”或增加一个小规模的“噪声”来看系统是怎样变化、因而导出系统本身的新的信息。关键之处是必须以可控制的方式进行扰动，以使系统本身没有根本性地改变。我们的方法的确是给密码系统“增加”随机的“小”的“噪声”，以使得系统的破解变难很多。扰动的方法包含在本发明人2003年11月提交的美国专利申请(20030215093)，参见[D]。新的IPP是以前的扰动方法的进一步提升，使得系统能够抵抗新的差分攻击[FGS][DG]。

假设有一个多变量公钥密码系统。该系统的公钥由一个q个元素的有限域(或环)k和一组(m个)k上的低次(d次)n元多项式(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))组成。任何人可以知道公钥。用来加密消息或验证签名或认证信息的合法性的公开变换是对于k上n维向量表示的一个给定的值X＝(x₁，...，x_n)，计算(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝(y₁，...，y_m)＝Y；对签名和消息认证，还需要验证这个Y是否的确就是所给的签名或认证码(它是有限域或环k上一个m维向量Y′)，如果是，接受签名或认证信息的合法性，否则拒绝接受。

秘密变换或计算是对任意给定的有限域或环k上一个m维向量Y＝(y₁，...，y_m)，找到使得(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝(y₁，...，y_m)的n维向量X＝(x₁，...，x_n)的过程。这需要使得(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))可以被分解为三个变换的复合(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝L₂о FоL₁(x₁，...，x_n)的秘密密钥的知识，这里ο表示变换的复合，L₁，L₂分别是k上n个和m个元素的组成的向量空间的可逆仿射线性变换，F(x₁，...，x_n)＝( f₁(x₁，...，x_n)，...， f_m(x₁，...，x_n))是另一个多项式变换，有快速算法有效地计算它的逆 F^-1，或等价地，存在一个快速算法，对任意Y＝(y₁，...，y_m)，可以有效地计算一个满足 F(x₁，...，x_n)＝(y₁，...，y_m)的值X＝(x₁，...，x_n)。仅有合法用户可以得到某个给定的秘密密钥。秘密变换或计算过程要么用来解密一个消息，要么用来产生一个可公开验证的合法签名或认证码。

对r和α的每个参数，IPP方法可产生新的多变量公钥密码系统。这里r和α是两个正整数。

对一个固定的r和α，新的多变量公钥密码系统实例如下。

这个新的多变量公钥密码系统有一个新的公钥：与原始MPKC相同的k的域或(环)结构，和一组新的同样低次数(d次)k上多项式：(f₁ ⁺(x₁，...，x_n)，...，f⁺ _m+α(x₁，...，x_n))。用于加密或验证的公开变换或计算变成计算公开多项式(f₁ ⁺(x₁，...，x_n)，...，f⁺ _m+α(x₁，...，x_n))＝(y₁，...，y_m+α)的值的过程。

现在新的秘密计算需要新的秘密密钥即

其中

L₁分别是k上m+α个和n个元素的组成的向量空间上随机或特定选择的可逆仿射线性变换，

$\tilde{F}(x_1,..,x_n)=$

$({\stackrel{\‾}{f}}_1(x_1,..,x_n)+g_1(z_1,..,z_r),..,{\stackrel{\‾}{f}}_m(x_1,..,x_n)+g_n(z_1,..,z_r),p_1(x_1,..,x_n),..,p_{\mathrm{\α}}(x_1,..,x_n)),$

$z_i=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{a}_{\mathrm{ij}}{x}_j+b_i,i=1,..,r,$ 是随机或特定选择的，z₁，L，z_r的线性部分作为x_i的线性函数是线性无关的，g_i(z₁，L，z_r)，i＝1，L，n是随机或特别选择的、以z₁，L，z_r为变量、次数小于等于(d)的多项式，p_i(x₁，L，x_n)，i＝1，L，α同样也是随机或特别选择的以x₁，L，x_n为变量的次数小于等于(d)的多项式。

用于解密和生成合法签名或认证码的新的秘密变换或计算变成了这样一个过程：对于任意给定的Y⁺＝(y₁，...，y_m+α)，寻找满足(f₁ ⁺(x₁，...，x_n)，...，f⁺ _m+α(x₁，...，x_n))＝Y⁺＝(y₁，...，y_m+α)的那个(或一个)值X＝(x₁，...，x_n)。

这个过程由合法用户通过以下步骤完成。

首先合法用户计算 得到中间值Y′⁺＝(y′₁，...，y′_m+α)。然后逐个地选择所有可能的z_i，i＝1，..，r(总共q^r种可能)，使用原密码系统中的算法计算F^-1(y′₁-g₁(z₁，..，z_r)，...，y′_m-g_m(z₁，..，z_r))＝(x″₁，...，x″_n)＝X″⁺。

对于每个X″⁺，合法用户计算((p₁(x″₁，...，x″_n)，..，p_α(x″₁，...，x″_n))，检查是否有((p₁(x″₁，...，x″_n)，..，p_α(x″₁，...，x″_n))＝(y′_m+1，…，y′_m+α)，若满足，则保留该X″⁺，否则抛弃。

对于上一步骤保留下来的(x″₁，...，x″_n)，合法用户计算L₁ ^-1(x″₁，...，x″_n)。这样得到的值(x₁，...，x_n)就可能是解密后的消息、有效的签名或有效的认证码。

这里，多项式g_i(z₁，...，z_r)，i＝1，..，n，可以被认为是添加到系统的“噪声”。多项式p_i(x₁，...，x_n)，i＝1，..，α，可以被认为是来源于Patarin等人提出的已知方法[CGP1]的“加”多项式。

1.2扰动的Matsumoto-Imai-Plus密码系统的一个例子：IPP方法在Matsumoto-lmai密码系统中的应用

这基于发明者的工作[DG]。

1.2.1首先我们给出Matsumoto-Imai MPKC[MI]。

这里我们设k是一个q个元素的有限域，q＝2^k，因此k是一个特征2的有限域。我们选定多项式环k[x]中的一个n次不可约多项式，由此可得到域k的一个n次扩域K，K＝k[x]/g(x)。K中的每一个元素都可以唯一表示为一个次数小于n的多项式。在K与k上n个元素组成的向量空间之间存在一个双射Φ，定义为Φ(a₀+a₁x+...+a_n-1x^n-1)＝(a₀，a₁，...，a_n-1)。

找到0与n之间的一个正整数θ使得GCD(q^θ+1，qⁿ-1)＝1，定义K上一个新的变换 $\tilde{F}\left(X\right)=X^{q^{\mathrm{\θ}}+1}.$

是一个可逆变换，而且 ${\tilde{F}}^{-1}\left(X\right)=X^t,$ 其中t(q^θ+1)＝1 mod qⁿ-1。令F(x₁，...，x_n)是kⁿ到kⁿ的映射，定义为

这里 f_i(x₁，...，x_n)，i＝1，..，n，是以x₁，...，x_n为变量的的二次(d＝2)多项式。令L₁，L₂为kⁿ上两个随机选择的可逆仿射线性变换，定义为：F(x₁，...，x_n)＝(f₁(x₁，...，x_n)，...，f_n(x₁，...，x_n))＝L₁ο FοL₂(x₁，...，x_n)。

这里每一个多项式都是二次的(d＝2)。

Matsumoto-Imai密码系统的加密过程如下。若Bob想要建立他自己的Matsumoto-Imai MPKC，则他应该有任何人都易于得到的“公钥”，包括1)有加法和乘法结构的域k；2)n个二次多项式f₁(x₁，...，x_n)，...，f_n(x₁，...，x_n)。若任何人，比如Alice，希望发送一个以向量X＝(x₁，...，x_n)给出的秘密消息给Bob，则她将首先获得公钥，再计算值(f₁(x₁，...，x_n)，...，f_n(x₁，...，x_n))＝(y₁，...，y_n)，(y₁，...，y_n)即为加密后的消息。

Bob需要保密的“私钥”包括两个仿射线性变换L₁，L₂。

参数θ既可以作为公钥的一部分，也可以作为私钥的一部分，因为猜测它并不难(只有n种选择，而n不会太大)。

现在Bob收到Alice发来的消息后，利用私钥，需要执行以下步骤进行解密：I)计算( y₁，...， y_n)＝L₁ ^-1(y₁，...，y_n)；II)计算

III)计算 $L_2^{-1}(y_{{\mathrm{\λ}}_1},...,y_{{\mathrm{\λ}}_n})=(x_1,...,x_n),$ 至此得到秘密消息。

该MPKC已经由Patarin利用线性化方法攻破[P]，因此没有了实际价值。

1.2.2 现在我们将使用IPP方法来得到新的安全的密码系统[DG]。下面给出这个新的多变量公钥密码系统的一个实例，其中r和α是固定的整数。固定小整数r，随机或特定地选择r个仿射线性函数z₁，...，z_r， $z_i=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{a}_{\mathrm{ij}}{x}_j+b_i,i=1,..,r.$ z₁，L，z_r的线性部分作为x_i的线性函数是线性无关的。

这里定义映射Z kⁿ→k^r：Z(x₁，...，x_n)＝(z₁，...z_r)。随机或特定地选择n个以z₁，L，z_r为变量的次数小于等于d的多项式g_i(z₁，L，z_r)，i＝1，L，n，同样随机或特定地选择α个以x₁，L，x_n为变量的次数小于等于(d)的多项式p_i(x₁，L，x_n)，i＝1，L，α。

我们称这个新的多变量公钥密码系统为扰动的Matsumoto-Imai-Plus(PMI+)。它有一个新的公钥，包括：与原Matsumoto-Imai MPKC一样的k的域(或环)结构；k上一组新的同样低次(二次)的公钥多项式：(f₁ ⁺(x₁，...，x_n)，...，f⁺ _m+α(x₁，...，x_n))。用于加密或验证的公开计算变为计算这一组多项式的值。

现在新的秘密计算需要新的秘密密钥即其中

L₁分别是k上m+α个和n个元素的组成的向量空间上的、随机或特定地选择的可逆仿射线性变换，

$\tilde{F}(x_1,L,x_n)=({\stackrel{\‾}{f}}_1(x_1,L,x_n)+g_1(z_1,L,z_r),L,{\stackrel{\‾}{f}}_m(x_1,L,x_n)+g_m(z_1,L,z_r),$

p₁(x₁，L，x_n)，L，p_α(x₁，L，x_n))。

PMI+的加密过程如下。公开可取的“公钥”包括：1)域k以及其中的加法和乘法结构；2)n+α个二次多项式(f₁ ⁺(x₁，...，x_n)，...，f⁺ _m+α(x₁，...，x_n))。

为加密以向量X＝(x₁，...，x_n)给出的消息，应事先得到公钥，再计算值(f₁ ⁺(x₁，...，x_n)，...，f⁺ _m+α(x₁，...，x_n))＝(y₁，...，y_m+α)，(y₁，...，y_m+α)即为加密后的消息。

仅为合法用户得到的“秘密密钥”包括：1) 和L₁；2)线性函数 $z_i=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{a}_{\mathrm{ij}}{x}_j+b_i,i=1,..,r;$ 3)二次函数g_i(z₁，...，z_r)，i＝1，..，n；4)二次函数p_i(x₁，...，x_n)，i＝1，..，α。

为了解密，新的秘密计算变成了这样一个过程：对于任意给定的Y⁺＝(y₁，...，y_m+α)，寻找满足(f₁ ⁺(x₁，...，x_n)，...，f⁺ _m+α(x₁，...，x_n))＝Y⁺＝(y₁，...，y_m+α)的值X＝(x₁，...，x_n)。该过程由合法用户通过执行下列步骤实现：1)首先合法用户计算 得到中间值Y′⁺＝(y′₁，...，y′_m+α)；2)逐个地选择所有可能的z_i，i＝1，..，r(总共q^r种可能)，使用原Matsumoto-Imai的算法计算 ${\stackrel{\‾}{F}}^{-1}({y^{\′}}_1-g_1(z_1,..,z_r),..,{y^{\′}}_m-g_m(z_1,..,z_r))=$

$({x^{\′\′}}_1,...,{x^{\′\′}}_n)=X^{\′\′+}$ ；3)对于每个X″⁺，合法用户计算((p₁(x″₁，...，x″_n)，..，p_α(x″₁，...，x″_n))，检查是否有((p₁(x″₁，...，x″_n)，..，p_α(x″₁，...，x″_n))＝(y′_m+1，...，y′_m+α)，若满足，则保留该X″⁺，否则抛弃；4)对于上一步骤保留下来的(x″₁，...，x″_n)，合法用户计算L₁ ^-1(x″₁，...，x″_n)，由此得到的值(x₁，...，x_n)即为解密后的消息。这儿必须小心选择整数r和α，确保它们比较大足以抵挡最近提出的差分攻击。

这儿我们要求r和α都不能太大。当α太大时，系统将变得不安全，尤其是面对Grbner基类型的攻击，如XL和F₄，F₅算法。当r太大时，系统的效率变得太低。

2.强化的内部扰动方法(EIP)

2.1 EIP的基本思想

我们将给出第二种方法，这种方法称为强化的内部扰动(EIP)。首先我们将给出EIP的基本思想以及EIP应用的一个例子，即将EIP用于HFE密码系统得到所谓的内部扰动的HFE密码系统(IPHFE)[DS3]。

这同样是使用扰动的思想。不过不同于第一种方法的是：第一种方法可认为是直接扰动，它仅仅是将新的多项式作为“噪声”加入原系统，强化的扰动则更进一步，它不仅仅是添加多项式而且它还将“噪声”多项式混合进原系统。

假设有一个多变量公钥密码系统作为一种密码通信过程。

这个公钥密码系统的公钥包括一个q元有限域(或环)的结构和任何人都可以得到的m个k上次数为d的n元多项式(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))。

这个公开变换既可以用于加密消息，也可以在签名和认证中用来验证真实性。该公开变换为：对于表示为有限域或环k上的n维向量的值X＝(x₁，...，x_n)，计算(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝(y₁，...，y_m)＝Y。对签名和消息认证，还需要验证这个Y是否的确就是所给的签名或认证码(它是有限域或环k上一个m维向量Y′)，如果是，接受签名或认证信息的合法性，否则拒绝接受。

秘密变换或计算是这样一个过程：对于有限域或环k上的m维向量Y＝(y₁，...，y_m)，寻找满足(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝(y₁，...，y_m)的n维向量X＝(x₁，...，x_n)。这需要将(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))分解为三个变换的复合(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝L₂о FоL₁(x₁，...，x_n)的秘密密钥的知识，这里ο表示变换的复合，L₁，L₂分别是k上n个和m个元素的组成的向量空间的可逆仿射线性变换。F(x₁，...，x_n)＝( f₁(x₁，...，x_n)，...， f_m(x₁，...，x_n))是另一个多项式变换，有快速算法有效地计算它的逆 F^-1，或等价地，存在一个快速算法，对任意Y＝(y₁，...，y_m)，可以有效地计算一个满足 F(x₁，...，x_n)＝(y₁，...，y_n)的值X＝(x₁，...，x_n)。仅有合法用户可以得到某个给定的秘密密钥。秘密变换或计算过程要么用来解密一个消息，要么用来产生一个可公开验证的合法签名或认证码。

EIP的第二种方法产生新的多变量公钥密码系统。作为这个新的非对称密码通信处理的一个实例，它有一组新的公开多项式(f₁ ^e(x₁，...，x_n)，...，f_e ^m(x₁，...，x_n))。这组新的多项式有新的密钥，即

其中由 F(x₁，..，x_n)添加随机或特定地选择的、z₁，...，z_r的次数小于等于d的多项式，同时将z₁，...，z_r的低次多项式与 F(x₁，...，x_n)的低次项相乘进行混合得到的。对于d＝2，也就是二次多项式的情形， 如下得到

$\hat{F}(x_1,..,x_n)=$

$({\stackrel{\‾}{f}}_1^2(x_1,..,x_n)+\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{a}_{1i}{q}_{1i}(z_1,..,z_r)x_i+g_1(z_1,..,z_r),..,$ ${\stackrel{\‾}{f}}_m^2(x_1,..,x_n)+\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{a}_{\mathrm{mi}}{q}_{\mathrm{mi}}(z_1,..,z_r)x_i+g_m(z_1,..,z_r)),$ $z_i(x_1,...,x_n)=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{e}_{\mathrm{ij}}{x}_j+b_j---i=1,..,r,$ 是随机或特定地选择的，作为x_i的函数是线性无关的；g_i(z₁，...，z_r)，i＝1，..，n，是随机或特定地选择的、以z₁，...，z_r为变量、次数小于等于d的多项式；q_ij(z₁，...，z_r)，i＝1，...，m；j＝1，...，n，是随机或特定地选择的、以z₁，...，z_r为变量、次数小于等于d-1的多项式；α_ij是随机或特定地选择的； ${\stackrel{\‾}{f}}_l(x_1,..,x_n)={\stackrel{\‾}{f}}_l^2(x_1,..,x_n)+\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{\α}}_{\mathrm{li}}{x}_i---l=1,..,m,$ f_l ²(x₁，..，x_n)仅由 f_l(x₁，..，x_n)；的二次部分和常数部分组成。

这个新的MPKC有一个新的带有新的公开变换的密码通信过程，即将有限域或环k上的n维向量X＝(x₁，...，x_n)通过k上的一组新的多变量多项式(f₁ ^e(x₁，...，x_n)，...，f^e _m(x₁，...，x_n))表示成为k上另一m维向量Y。

这个新的MPKC有一个新的带有新的秘密变换的密码通信过程，即由秘密知识

来逆转变换

(f₁ ^e(x₁，...，x_n)，...，f^e _m(x₁，...，x_n))，从而由值Y得到确定的(或一个)值X。这可由知道秘密密钥或密码密钥的合法用户执行以下步骤实现。

1)合法用户计算L₂ ^-1(Y)得到中间值Y′＝(y′₁，...，y′_m)，2)然后逐个地选择所有可能的z_i，i＝1，..，r(总共q^r种可能)，并计算 ${{\stackrel{\‾}{F}}_{(z_1,..,z_r)}}^{-1}({y^{\′}}_1-g_1(z_1,..,z_r),..,{y^{\′}}_m-g_m(z_1,..,z_r))=({x^{\′\′}}_1,...,{x^{\′\′}}_n)=X^{\′\′+}$ 其中

${\stackrel{\‾}{F}}_{(z_1,L,z_r)}(x_1,L,x_n)=({{\stackrel{\‾}{f}}_1}^2(x_1,L,x_n)+\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{a}_{1i}{q}_{1i}(z_1,L,z_r)x_i,L,$

${\stackrel{\‾}{f}}_m^2(x_1,L,x_n)+\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{a}_{\mathrm{mi}}{q}_{\mathrm{mi}}(z_1,L,z_r)x_i),$ 而且我们也要求计算 F_{(z1，..，zr)}(x₁，...，x_n)的逆和计算F(x₁，...，x_n)的逆一样容易；3)最后一步是计算L₁ ^-1(x″₁，...，x″_n)，从而得到一个值(x₁，...，x_n)。

2.2 EIP应用于HFE密码系统的一个实例：内部扰动的HFE密码系统(IPHFE)

HFE密码系统是由Patarin提出的已经取得专利权的MPKC。该项专利1995年于法国收录归档，在美国于1996年收录归档(美国专利号：5,790,675)。

HFE[P1]密码系统依赖于一个特殊参数D。然而Kipnis、Shamir、Courtois和Faugere[C][KS][FJ]最近的工作表明D不能太小。但是随着D的增长，系统将变得很慢。作为EIP应用于HFE的一个实例，IPHFE能够得到一个新的效率更高的密码系统[DS3]。

2.2.1 HFE密码系统。

隐藏域方程密码系统也是由Patarin提出的[P1]，他认为这个构造是最强的。该系统十分类似于Matsumoto-Imai密码系统。

这里假设k是q元有限域，其特征不必为2。我们选定一个k上多项式环k[x]中的一个n次不可约多项式g(x)。由此我们可以得到k的一个n次扩域K＝k[x]/g(x)。K中的每一个元素都可以唯一表示为一个次数小于n的多项式。在K与k上n个元素组成的向量空间之间存在一个双射Φ，定义为Φ(a₀+a₁x+…+a_n-1x^n-1)＝(a₀，a₁，...，a_n-1)。我们定义K上的函数： $\tilde{F}\left(X\right)=\underset{0\≤i\≤j}{\overset{q^i+q^j\≤D}{\mathrm{\Σ}}}{A}_{\mathrm{ij}}{X}^{q^i+q^j}+\underset{q^j\≤D}{\mathrm{\Σ}}{B}_j{X}^{q^j}+C,$ 其中多项式的系数是随机选择的，最高次数D不能太大。

虽然一般来说，

不再是双射，但是我们可以找到 的逆，也就是说对于一个常数Y′，我们可以利用Berlekamp算法来解多项式方程 $\tilde{F}\left(X\right)=Y^{\′}.$ 出于对Berlekamp算法的复杂度考虑，这儿的次数D不能太大，否则

的计算将变得不可能。

令 F(x₁，...，x_n)是kⁿ到kⁿ的映射，定义为这儿f_i(x₁，...，x_n)，i＝1，..，n，是以x₁，...，x_n为变量的的二次(d＝2)多项式。令L₁，L₂为kⁿ上两个随机选择的可逆仿射线性变换，定义F(x₁，...，x_n)＝(f₁(x₁，...，x_n)，...，f_n(x₁，...，x_n))＝L₁о FоL₂(x₁，...，x_n)。

HFE密码系统的加密过程如下。公钥包括：1)域k及其上的加法和乘法结构；2)n个二次多项式f₁(x₁，..，x_n)，...，f_n(x₁，...，x_n)。

加密一个以向量X＝(x₁，...，x_n)给出的消息，需要先获得公钥，再计算值(f₁(x₁，...，x_n)，...，f_n(x₁，...，x_n))＝(y₁，...，y_n)。(y₁，...，y_n)即为加密后的消息。

密码学上的秘密，即私钥，包括两个仿射线性映射L₁，L₂，函数

以及大域K。

解密过程有以下几个步骤组成。合法用户收到加密的消息后可按如下步骤解密：I)计算( y₁，...， y_n)＝L₁ ^-1(y₁，...，y_n)；II)使用Berlekamp算法计算

III)计算 $L_2^{-1}(y_{{\mathrm{\λ}}_1},...,y_{{\mathrm{\λ}}_n})=(x_1,...,x_n),$ 由此得到秘密消息。

注意在II)中，，有可能会获得多个解。这可以通过“加”方法来处理，即添加一些随机选择的多项式混合到系统中，用来辨别真正的解，还可以用其他技术如杂凑函数来处理。

2.2.2新的IPHFE密码系统

现在我们将EIP应用于HFE来生成一族新的公钥密码系统，这依赖于一个小的正整数参数r[DS3]。

作为这个新的非对称密码通信过程的一个实例，当我们固定r，新的公钥多项式变为(f₁ ^e(x₁，...，x_n)，...，f^e _m(x₁，...，x_n))。这组新的多项式有新的密码密钥，即其中

由 F(x₁，..，x_n)添加随机或特顶选择的、z₁，...，z_r的次数小于等于d的多项式，同时将z₁，...，z_r的低次多项式与F(x₁，..，x_n)的低次项相乘进行混合得到的：

$\hat{F}(x_1,..,x_n)=$

$({\stackrel{\‾}{f}}_1^2(x_1,..,x_n)+\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{a}_{1i}{q}_{1i}(z_1,..,z_r)x_i+g_1(z_1,..,z_r),..,$ ${\stackrel{\‾}{f}}_m^2(x_1,..,x_n)+\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{a}_{\mathrm{mi}}{q}_{\mathrm{mi}}(z_1,..,z_r)x_i+g_m(z_1,..,z_r)),$ $z_i(x_1,...,x_n)=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{e}_{\mathrm{ij}}{x}_j+b_j,i=1,..,r,$ 是随机或特定选择的，作为x_i的函数是线性无关的；g_i(z₁，...，z_r)，i＝1，..，n，是随机或特定选择的以z₁，...，z_r为变量、次数小于等于d的多项式：q_ij(z₁，...，z_r)，i＝1，...，m；j＝1，...，n，是随机或特定选择的以z₁，...，z_r为变量、次数小于等于d-1的多项式： ${\stackrel{\‾}{f}}_l(x_1,..,x_n)={\stackrel{\‾}{f}}_l^2(x_1,..,x_n)+\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{\α}}_{\mathrm{li}}{x}_i---l=1,..,m,$ f₁ ²(x₁，..，x_n)仅由 f₁(x₁，..，x_n)的二次部分和常数部分组成，而且

其中系数是随机选择的，ΦоZоΦ^-1(x₁，...，x_n)＝(z₁，..，z_r，0，..，0)。这个新的MPKC对于加密和解密是一个新的密码通信处理过程。

公钥包括：1)域k的结构；2)一组(n个)公钥多项式(f₁ ^e(x₁，...，x_n)，...，f^e _n(x₁，...，x_n))。要加密一条消息X＝(x₁，...，x_n)，需要得到这组新的公开多项式并计算(f₁ ^e(x₁，...，x_n)，...，f^e _n(x₁，...，x_n))＝(y₁，...，y_n)。新的秘密密钥包括 $z_i(x_1,...,x_n)=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{e}_{\mathrm{ij}}{x}_j+b_j,i=1,..,r,$

L₁，L₂和域K的结构。

合法用户执行以下步骤来解密Y＝(y₁，...，y_n)：1)合法用户计算L₂ ^-1(Y)得到中间值Y′＝(y′₁，...，y′_m)，2)然后逐个地选择所有可能的z_i，i＝1，..，r(总共q^r种可能)，并计算 ${{\stackrel{\‾}{F}}_{(z_1,..,z_r)}}^{-1}({y^{\′}}_1-g_1(z_1,..,z_r),..,{y^{\′}}_m-g_m(z_1,..,z_r))=({x^{\′\′}}_1,..,{x^{\′\′}}_n)=X^{\′\′+}$ 其中

${\stackrel{\‾}{F}}_{(z_1,L,z_r)}(x_1,L,x_n)=({{\stackrel{\‾}{f}}_1}^2(x_1,L,x_n)+\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{a}_{1i}{q}_{1i}(z_1,L,z_r)x_i,L,$

${\stackrel{\‾}{f}}_m^2(x_1,L,x_n)+\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{a}_{\mathrm{mi}}{q}_{\mathrm{mi}}(z_1,L,z_r)x_i),$ 对于任意固定值z₁，...，z_r，我们再次使用Berlekamp算法求

的逆，当D不太大时，这个计算是很容易实现的；3)最后一步是计算L₁ ^-1(x″₁，...，x″_n)，从而得到一个值(x₁，...，x_n)。注意在2)中，，有可能会获得多个解。对于HFE，这通过应用“加”方法或使用其他技术如杂凑函数很容易解决。

2.3 我们可以结合IPP和EIP方法应用于HFE，这样就可以得到内部扰动的HFE-加密码系统，即IPHFE+。

3.多层油—醋构造方法(MOVC)

3.1 MOVC的基本思想

第三种方法称为多层油—醋构造。我们将结合这种方法的一个应用例子，所谓的彩虹签名系统，来阐述这种方法。我们将首先给出基本思想，然后给出例子，这个例子也可在发明者的工作[DS4]中找到。

多层油—醋构造方法(MOVC)可用来将多变量公钥密码系统的不同或相同类型的构造通过油—醋构造来“粘”合在一起，来构造新的多变量公钥密码系统——非对称密码通信处理过程。

再次设有一个多变量公钥密码系统作为密码通信处理过程。

这个多变量公钥密码系统的公钥由一个有限域(或环)k的结构和一组(m个)k上的低次(d次)n元多项式(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))组成。任何人可以知道公钥。用来加密消息或验证签名或一个文件的认证码的真实性的公开变换或计算是，对于k上n维向量表示的一个给定的值X＝(x₁，...，x_n)，计算(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝(y₁，...，y_m)＝Y；对签名和消息认证，还需要验证这个Y是否的确就是所给的签名或认证码(它是有限域或环k上一个m维向量Y′)，如果是，接受签名或认证信息的合法性，否则拒绝接受。

秘密变换或计算是对有限域或环k上任意给定的一个m维向量Y＝(y₁，...，y_m)，找到使得(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝(y₁，...，y_m)的n维向量X＝(x₁，...，x_n)的过程。这需要使得(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))可以被分解为三个变换的复合(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝L₂о FоL₁(x₁，...，x_n)的秘密密钥的知识，这里о表示变换的复合，L₁，L₂分别是k上n个和m个元素的组成的向量空间的可逆仿射线性变换，F(x₁，...，x_n)＝( f₁(x₁，...，x_n)，...， f_m(x₁，...，x_n))是另一个多项式变换，有快速算法有效地计算它的逆 F^-1，或等价地，存在一个快速算法，对任意Y＝(y₁，...，y_m)，可以有效地计算一个满足 F(x₁，...，x_n)＝(y₁，...，y_n)的值X＝(x₁，...，x_n)。仅有合法用户可以得到某个给定的秘密密钥。秘密变换或计算过程要么用来解密一个消息，要么用来产生一个可公开验证的合法签名或认证码。

我们说一个如上描述的多变量密码系统是来自油—醋构造的，如果除了变换F(x₁，...，x_n)＝( f₁(x₁，...，x_n)，...， f_m(x₁，...，x_n))定义如下外，它和上面阐述的过程一样。变量x₁，...，x_n分为两组，第一组x₁，...，x_v称为油变量，第二组x_v+1，...，x_n称为醋变量。这些变量满足以下条件：如果我们给定或能够猜测醋变量的值，那么我们能找到 F的逆变换，或等价地，有一个快速算法可以解方程 F(x₁，...，x_n)＝(y₁，...，y_m)(找到该方程一个解或全部解)。

用MOVC方法构造新的MPKC。一个新的多变量公钥密码系统及新的非对称密码通信处理过程描述如下。新的公开多项式集合变为(f₁ ^＝(x₁，...，x_N)，...，f^＝ _M(x₁，...，x_N))，该集合有一个新的密码密钥即 其中 L₁， L₂分别是k上N个和M个元素组成的向量空间上的随机选择的可逆仿射线性变换，

由 F_i(x_vi，...，x_N)，i＝1，..，1；1＝v₁＜v₂...＜v_l＜N连接而成：而且每一个 F_i(x_v1..，x_N)，i＝1，..，1-1，都来自于油—醋构造。我们称 F_i为第i层油—醋构造，它将k上(N-v_l+1)个元素组成的向量变换为u_i个元素组成的向量，其中x_vi，...，x_vi+1-1作为油变量而x_vi+1，...，x_N作为醋变量。F_l(x_vl，...，x_N)不必非得是(但可以是)一个油—醋构造，它将k上(N-v_l+1)个元素组成的向量变换为u_l个元素组成的向量；M＝u₁+u₂+...+u_l。

这个新的密码通信处理包括两部分。1)一个公开变换，即一个通过有限域或环k上一组(M个)新的多变量多项式(f₁ ^＝(x₁，...，x_N)，...，f^＝ _M(x₁，...，x_N))将表示为k上N维向量的值 X， X＝(x₁，L，x_N)，变换为k上M维向量 Y的过程；2)一个秘密变换，即这样一个过程：逆转由密码密钥 定义的变换(f₁ ^＝(x₁，...，x_N)，...，f^＝ _M(x₁，...，x_N))，从而由 Y得到这个(或一个)值 X。这个过程由以下几步完成。首先对 Y应用 L₂ ^-1得到中间值Y′＝(y′₁，...，y′_M)。对(y′_M-ui+1，...，y′_M)，应用 F_l ^-1得到值x_vi，...，x_N，我们用(x″_vi，...，x″_N)来表示。对于第(l-1)油—醋构造，在方程 ${\stackrel{\‾}{F}}_{l-1}(x_{v_{l-1}},...,x_N)=({y^{\′}}_{M-u_l-u_{l-1}+1},...,{y^{\′}}_{M-u_l})$ 中用(x″_v1，...，x″_N)替代醋变量x_vi，...，x_N并解方程得到油变量x_vi-1，...，x_vi-1的解。

对第1-2层油—醋构造应用相同的处理过程，并结合使用上一步得到的油变量得到油变量x_vi-2，...，x_vi-1-1。接下来逐层重复这些处理过程直到最后一层 F₁，由此得到所有的x₁，...，x_N值，我们用x″₁，...，x″_N来表示。计算 L₁ ^-1(x″₁，...，x″_N)，最终得到值 X＝(x₁，...，x_N)。

这个公开变换既可以用来加密消息，也可以用来验证一份文件的签名或认证码是否真正合法。秘密变换既可以用来解密消息，也可以用来生成一份文件的签名或认证码。

3.2 MOVC对油—醋签名体制的应用

我们将通过一个例子来演示MOVC方法。这个例子是我们将MOVC应用于油—醋签名体制，从而构造出的一族新的签名体制，即彩虹[DS4]。

3.2.1 油—醋构造

油—醋构造方法是由Patarin等人提出的[P2][KPG]。他们用它来构造了平衡和不平衡油—醋签名体制。平衡的油—醋签名体制最早由Patarin[P2]提出，但是它被Kipnis andShamir[KS1]攻破。不平衡族是由Patarin、Kipnis和Goubin提出的，是对平衡情形的改进[KPG]。

同样，我们假设有一个有限域k，在本节(3.2节)的剩余部分中，我们的工作都将在这个有限域k中进行。

设o和v是两个正整数。x₁，...，x_o这一组变量，称为油变量，x′₁，...，x′_v这一组变量称为醋变量。对于这一组油变量和醋变量，有以下形式的多项式f(x₁，...，x_o，x′₁，...，x′_v)我们称之为油—醋多项式：

$f(x_1,...,x_o,{x^{\′}}_1,...,{x^{\′}}_v)=\underset{i=1,j=1}{\overset{o,v}{\mathrm{\Σ}}}{a}_{\mathrm{ij}}{x}_i{x^{\′}}_j+\underset{i\≤j=1}{\overset{v}{\mathrm{\Σ}}}{b}_{\mathrm{ij}}{x^{\′}}_i{x^{\′}}_j+\underset{i=1}{\overset{o}{\mathrm{\Σ}}}{c}_i{x}_i+\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{d}_j{x^{\′}}_j+e$

设 F是k^o+v到k^o的变换，满足F(x₁，...，x_o，x′₁，...，x′_v)＝( f₁(x₁，...，x_o，x′₁，...，x′_v)，...， f_o(x₁，...，x_o，x′₁，...，x′_v))，其中每个f_i(x₁，L，x_o，x′₁，L，x′_v)，i＝1，..，o，是随机的或特定选择的油—醋多项式，x₁，...，x_o为一组油变量，x′₁，...，x′_v是一组醋变量。

对于每一个k^o中的值Y＝(y₁，...，y_o)，都可以很容易找到Y在变换 F下的原像，或者等价地，我们能够找到方程F(x₁，...，x_o，x′₁，...，x′_v)＝( f₁(x₁，...，x_o，x′₁，...，x′_v)，...， f_o(x₁，...，x_o，x′₁，...，x′_v))＝Y的解，或者等价地，我们可以很容易计算F的逆。这可以如下实现：首先猜测所有的醋变量的值，这样就可使得上述方程变为所有油变量的一组(o个)线性方程组。若这组方程有解，我们可以很容易得到它的解；如果方程组无解，我们可以重复几次上述过程直到获得一个解，这经过少量的几次尝试就可以保证[P2][KPG1]。

对于油—醋签名体制，其公开多项式由F(x₁，...，x_o+v)＝ FоL₁(x₁，...，x_o+v)给出，其中L₁是随机或特定选择的可逆仿射线性变换。注意，若我们刻意地选择 F或许我们需要在前面添加可逆仿射因子L₂。若我们随机选择 F则我们不需要L₂。

油—醋签名方案的建立如下。假设Bob要建立自己的油—醋签名体制。首先他选择如上所述的o，v， F和L₁，然后得到F(x₁，...，x_o+v)＝ FоL₁(x₁，...，x_o+v)。对于Bob的这个MPKC，其公钥包括：1)域k的结构；2)一组多项式F(x₁，...，x_o+v)。Bob要公开它的公钥，比如放在他的可公开访问的网页上。令Y＝(y₁，...，y_o)，它可以是文件本身也可以是文件的杂凑值，它可以看作是文件的某种集合。这儿要求杂凑过程是安全的并且是可公开得到的。为了给出文件Y的合法签名，Bob使用它的私钥 F和L₁。然后他将找到一个值X″＝(x″₁，...，x″_o+v)使得F(x″₁，...，x″_o+v)＝Y。运用的秘密计算过程如下。Bob首先将 F^-1应用于上述的Y来得到一个中间值，我们用(x′₁，...，x′_o+v)来表示。然后将L₁ ^-1应用于(x′₁，...，x′_o+v)，计算出L₁ ^-1(x′₁，...，x′_o+v)。我们用(x″₁，...，x″_o+v)表示这个结果，这就是Bob想要的签名。然后Bob将签名(x″₁，...，x″_o+v)附加到文件Y或Y的杂凑值之后，并要指明他使用了哪一个杂凑函数。对于Alice，一个看到并接收到文件签名对的人，她将使用以下步骤来实现公开计算以验证文件的真实性。首先她得到F和杂凑值(如果需要的话)。然后计算F(x″₁，...，x″_o+v)来检验它是否真正地与Y相同，这个Y是她拥有的或是通过使用与Bob同样的杂凑来得到的。如果它们相同，那么这确实是一份Bob签署过的文件，否则就认为是伪造的予以拒绝。平衡情形指的是o＝v的情形，它已经被Kipnis和Shamir[KS1]攻破，因此已经失去实际价值。不平衡的情形指的是v≥o的情形，目前是安全的，它要求q^v-o很大。这意味着签名(o+v)至少是文件大小(o)的两倍。因此效率是非常低的。

3.2.2 彩虹和多层油—醋签名体制

设S为集合{1，2，3，...，n}。设v₁，...，v_u为满足0＜v₁＜v₂＜？？？＜v_u＝n的u个整数，定义整数集合S₁＝{1，2，...，v₁}，1＝1，...，u，使得我们有S₁S₂...S_u＝S。S_i中元素个数为v_i。令o_i＝v_i+1-v_i，i＝1，...，u-1。令O_i为集合O_i＝S_i+1-S_i，i＝1，...，u-1。令P₁是下列形式的多项式张成的二次多项式的线性空间：

$\underset{i\∈O_1,j\∈S_i}{\mathrm{\Σ}}{\mathrm{\α}}_{\mathrm{ij}}{x}_i{x}_j+\underset{i\≤j\∈S_1}{\mathrm{\Σ}}{\mathrm{\β}}_{\mathrm{ij}}{x}_i{x}_j+\underset{i{\∈S}_{i+1}}{\mathrm{\Σ}}{\mathrm{\γ}}_i{x}_i+\mathrm{\η}.$

这些都是油和醋类型的多项式，其中x_i，i∈O₁是油变量，x_i，i∈S₁是醋变量。我们称x_i，i∈O_i为第1层油变量，x_i，i∈S₁为第1层醋变量。我们用P₁表示所有的1层油和醋多项式集合。显然有P_i∈P_j，i＜j。通过这种方式每个P₁，1＝1，...，u-1都是一个油和醋多项式。P₁中每一个多项式都以x_i，i∈O₁为它的油变量，x_i，i∈S₁为它的醋变量。P_i中的油和醋多项式都可以定义为以x_i，i∈O_i为油变量，以x_i，i∈S_i为醋变量。这可由事实S_i+1＝S_i∪O_i，S_i∩O_i＝来说明。

接下来我们定义彩虹签名体制的变换 F。这是一个从kⁿ到k^n-v1的变换 F满足：

$\stackrel{\‾}{F}(x_1,L,x_n)=({\tilde{F}}_1(x_1,L,x_n),L,{\tilde{F}}_{u-1}(x_1,L,x_n))$

$=({\stackrel{\‾}{f}}_1(x_1,L,x_n),L,{\stackrel{\‾}{f}}_{n-v_1}(x_1,L,x_n))$

每个 由P_i中随机选择的o_i二次多项式组成。 F实际上有u-1层油醋构造，一层覆盖一层。第一层由o₁个多项式 f₁，...，f_o1组成，满足x_j，j∈O₁是油变量，x_j，j∈S₁是醋变量。第i层由o_i个多项式 f_vi+1，...， f_vi+1组成，满足x_i，j∈O_i是油变量，x_j，j∈S_i是醋变量。由由此我们构造出了我们的变量的一个彩虹：

[x₁，...，x_v1]；{x_v1+1，...，x_v2}

[x₁，...，x_v1，x_v1+1，...，x_v2]；{x_v2+1，...，x_v3}

[x₁，...，x_v1，x_v1+1，...，x_v2，x_v2+1，...，x_v3]；{x_v3+1，...，x_v4}

...；...

[x₁，...，...，...，...，...，...，...，...，...，...，x_vu-1]；{x_vu-1+1，...，x_n}

上面的每一行代表彩虹的一层。对于上面的第1层，[]中的是醋变量，{}中的是油变量，并且每一层的醋变量都包含它之前所有层的醋变量。我们称 F是有u-1层的彩虹多项式映射。设L₁，L₂是两个随机选择的可逆仿射线性映射，L₂作用在k^n-v1上，L₁作用在kⁿ上。设F(x₁，...，x_n)＝L₂о FоL₁(x₁，...，x_n)，它由n-v₁个n元二次多项式组成。

假设Bob想要建立自己的彩虹签名体制。首先他选择如上所述的 F和L₁，L₂，并得到F(x₁，...，x_n)＝L₂о FоL₁(x₁，...，x_n)。对于Bob这个MPKC，其公钥包括：1)域k的结构；2)多项式集合F(x₁，...，x_n)。Bob公开他的公钥，例如可以放在他的可公开访问的网页上。

令Y＝(y₁，...，y_n)，它可以是文件本身，也可以是文件的杂凑值，它可以看作是文件的某种集合。这儿要求杂凑过程是安全的并且是可公开得到的。为了给出文件Y的合法签名，Bob使用他的私钥。私钥由 F和L₁，L₂组成。然后他将找到一个值X″＝(x″₁，...，x″_o+v)使得F(x″₁，...，x″_n)＝Y。运用的秘密计算过程如下。Bob首先将上述的L₂ ^-1应用于Y并得到一个值，我们将这个值表示为(y′₁，...，y′_n-v1)。

接下来Bob需要求 F^-1。这里，Bob需要解方程 F(x₁，...，x_n)＝(y′₁，...，y′_n-v1).。为了解方程，Bob先随机选择值x₁，...，x_v1并且将这些值代入由 F₁(x₁，...，x_v1)＝(y′₁，...，y′_o1)给出的第一层的o₁个方程中。这样得到了以o₁个变量x_o1+1，...，x_v2为变量的一组(o₁)线性方程组，解这个方程组就可得到值x_o1+1，...，x_v2。这仅仅是重复上面3.2.1节关于油—醋签名体制的求 F的逆的过程。

然后Bob得到所有的x_i，i ∈S₂。此后将这些值代入到第二层的多项式中又可得到o₂个线性方程组，这是我们得到所有的x_i，i∈S₃。重复这个过程直到我们找到一个解。

任何时候只要有一个线性方程组无解，都将从头开始选择另一组值x₁，...，x_v1。持续下去直到找到一个解。若层数不太多，Bob有很高的概率能够成功。

我们将Bob找到的解表示为(x′₁，...，x′_n)。

然后将L₁ ^-1应用于(x′₁，...，x′_o+v)，计算出L₁ ^-1(x′₁，...，x′_o+v)，得到的结果(x″₁，...，x″_n)就是Bob想要的签名。然后Bob将签名(x″₁，...，x″_n)附加到文件Y或它的杂凑值之后，并要指明他所使用的杂凑函数。

对于Alice，一个看到并接收到文件/签名对的人，她将使用以下步骤来实现公开计算以验证文件的真实性。

首先她得到F和杂凑值(如果需要的话)。然后计算F(x″₁，...，x″_n)来检验它是否真正地与Y相同，这个Y是她得到的或是通过使用与Bob同样的杂凑函数得到的。如果它们相同，那么这确实是一份Bob签署过的文件，否则就认为是伪造的予以拒绝。在彩虹体制中，文件的长度是n-v₁，签名的长度是n并且我们可使v₁比n小很多。因此彩虹体制比[KPG]中提出的不平衡的油—醋签名体制效率更高。

4)方法的组合。我们可以组合任意两个方法一起来构造新的MPKC。例如，我们可以将IPP和MOVC结合起来，构造一个仅有二层的MPKC，第一层就使用PMI+，它的变量作为醋变量用于下一层的油—醋构造中。类似地，我们可以将EIP与MOVC结合起来。

我们也可以将三种方法一起结合起来。

5)一种构造我们方法的变体的方式是在我们的方法中选择特殊类型的多项式，如稀疏多项式，其中绝大多数项都为零。[YC1]和[WHLCY]中的MPKC就属于彩虹的这样一个例子。

引用文献

1.[ACDG]Mehdi-Laurent Akkar，Nicolas T.Courtois，Romain Duteuil，Louis Goubin AFast and Secure Implementation of Sflash，Volume 2567，pp 267-278Lecture Notes inComputer Science.

2.[CM]Chen，J.，Moh，T.On the Goubin-Courtois Attack on TTM，Cryptology ePrintArchive(2001/72).

3.[CYP]Chen，J.，Yang，B.，Peng，B.Tame Transformation Signatures with Topsy-YurvyHashes IWAP′02.

4.[C]Nicolas T.Courtois，The Security of Hidden Field Equations(HFE)，Progress incryptology，CT-RSA，LNCS，Vol.2020，(C.Naccache ed.)，Springer，2001，Pages266-281.

5.[CG]Goubin，L.，Courtois，N.，Cryptanalysis of the TTM cryptosystem，Asiacrypt2000，LNCS 1976，44-57.

6.[CGP]Nicolas Courtois，Louis Goubin，Jacques Patarin  FLASH，a Fast MultivariateSignature Algorithm Volume 2020，pp 0298 Lecture Notes in Computer Science.

7.[CGP1]Jacques Patarin，Louis Goubin，Nicolas Courtois，C-+* and HM：Variations aroundTwo Schemes of T.Matsumoto and H.Imai，ASIACRYPT′98，LNCS，Vol.1514，(K.Ohta and D.Pei ed.)Springer，1998，Page 35-50.

8.[CGP2]Jacques Patarin，Nicolas Courtois，Louis Goubin QUARTZ，128-Bit Long DigitalSignatures，Volume 2020，pp 0282Lecture Notes in Computer Science.

9.[DF]Fell，Harriet；Diffie，Whitfield，Analysis of a public key approach based on polynomialsubstitution.Advances in cryptology---CRYPTO′85(Santa Barbara，Calif.，1985)，340--349，Lecture Notes in Comput.Sci.，218，Springer，Berlin，1986.

10.[D]Ding，Jintai，A New Variant of the Matsumoto-Imai Cryptosystem throughPerturbation}，PKC′04，Lecture Notes in Computer Science 2947，Springer-VerlagHeidelberg.

11.[DG]Jintai Ding，Jason Gower.Inoculating Multivariate Schemes Against DifferentialAttacks.IACR eprint：2005/255.http：//eprint.iacr.org.

12.[DS1]Jintai Ding and Dieter Schmidt，A Defect of the Implementation Schemes of the TTMCryptosystem，Technical Track，ACNS′03，http：//eprint.iacr.org.

13.[DS2]Jintai Ding and Dieter Schmidt，The new TTM schemes are not secure Coding，Cryptography and Combinatorics 2003(K.Q.Feng，H.Niederreiter and C.P.Xing，eds.)，Birkhauser，Basel.

14.[DS3]Jintai Ding and Dieter Schmidt，Cryptanalysis of HFEv and the Internal Perturbationof HFE cryptosystems}，In Serge Vaudenay，editors Public Key Cryptosystems，PKC-2005，Lecture Notes in Computer Sciences，volume 3386，pages 288-301 Springer，2005.

15.[DS4]Jintai Ding，Dieter Schmidt.Rainbow，a new multivariable public key signaturescheme，the Third International Conference of Applied Cryptography and NetworkSecurity(ACNS 2005)，New York，June 7-10，2005，Lecture Notes in Computer Science3531，Page 164-175，Springer，2005.

16.[DY]，Jintai Ding，Zhijun Yin.Cryptanalysis of TTS and Tame-Like MultivariableSignature Schemes，presented and published in the Third International Workshop inApplied Public-key Infrastructure，pages 14-25，2004(IWAP′04).

17.[FJ]Jean-Charles Faug`ere and Antoine Joux，Algebraic cryptanalysis of hidden fieldequation(HFE)cryptosystems using Gr¨obner bases，In Dan Boneh，editor，Advances incryptology-CRYPTO 2003，LNCS，volume 2729，pages 44-60.Springer 2003.

18.[FGS]Pierre-Alain Fouque and Louis Granboulan and Jacques Stern，DifferentialCryptanalysis for Multivariate Schemes，Advances in Cryptology-UROCRYPT 2005，LNCS 3494，2005，Springer-Verlag GmbH，341-353.

19.[KPG]Aviad Kipnis，Jacques Patarin，Louis Goubin，Unbalanced Oil and VinegarSignature Schemes，Eurocrypt’99，LNCS，volume 1592，pages 206--222.Springer，1999.

20.[KS]Aviad Kipnis，Adi Shamir，Cryptanalysis of the HFE Public Key Cryptosystem byRelinearization，In M.Wiener，editor，Advances in cryptology-Crypto’99，LNCS，volume 1666，pages 19-30.Springer，1999.

21.[KS1]Aviad Kipnis，Adi Shamir，Cryptanalysis of the Oil & Vinegar Signature Scheme，Crypto′98，Lecture Notes in Computer Science，V.1462，Springer-Verlag Heidelberg.

22.[MI]Matsumoto，T.，Imai，H，Public quadratic polynomial-tuples for efficient signatureverification and message encryption，Advances in cryptology--EURO-CRYPT′88(Davos，1988)，419--453，Lecture Notes in Comput.Sci.，330，Springer，Berlin，1988.

23.[M]Moh，T.T.，A fast public Key System with Signature and Master key functions，LectureNotes at EE department of Stanford University.(May 1999)，http：//www.usdsi.com/ttm.html.

24.[MCY]T.Moh，J.M.Chen and Boyin Yang，Building Instances of TTM Immune to theGoubin-Courtois Attack and the Ding-Schmidt Attack，IACR eprint：2004/168.http：//eprint.iacr.org.

25.[P]Patarin，J.，Cryptanalysis of the Matsumoto and Imai public key scheme of Eurocrypt′88，Advances in Cryptology--Crypto′95，LNCS，Vol.963，(D.Coppersmith，ed.)Springer-Verlag，1995，Page 248-261.

26.[P1]Patarin，J.，Hidden field equations and isomorphism of polynomials，Eurocrypto′96，1996.33-48，LNCS，Spinger.

27.[P2]Patarin，J.，The oil and Vinegar signature scheme，The Dagstuhl Workshop onCryptography，September 1997.

28.[Sh]Shamir，Adi，Efficient signature schemes based on birational permutations，Advances incryptology--CRYPTO′93(Santa Barbara，CA，1998)，257--266，Lecture Notes inComput.Sci.，1462，Springer，Berlin，1993.

29.[Sp]Shor，Peter，Polynomial-time algorithms for prime factorization and discrete logarithmson a quantum computer，SIAM Rev.41(1999)，no.2，303--332.

30.[WHLCY]Lih-Chung Wang，Yuh-Hua Hu，Feipei Lai，Chun-yen Chou，Bo-Yin Yang，Tractable Rational Map Signature，Public Key Cryptography 2005.LNCS V.3386，244-257，Springer.

31.[WYHL]Lih-Chung Wang and Bo-Yin Yang，Yu-hua HU，Peipei Lai，A″Medium-Field″Multivariate Public-Key Encryption Scheme，Accepted for the RSA-CT 2006 and toappear in LNCS.

32.[YC]B.Yang，J.Chen，A More Secure and Efficacious TTS Signature Scheme，ICISC′03and http：//eprint.iacr.org.

33.[YC1]Bo-Yin Yang，Jiun-Ming Chen，Building Secure Tame-like MultivariatePublic-Key Cryptosystems：The New TTS.ACISP 2005，LNCS V.3574，518-531，Springer.

34.[YCC]Bo-Yin Yang，Jiun-Ming Chen，Yen-Hung Chen，TTS：High-Speed Signatures ona Low-Cost Smart Card，CHES 2004，LNCS.V.3156，371-385，Springer。

Claims (9)

1.一个密码学方法，应用于一个多变量公钥密码系统(MPKC)来生成新的多变量公钥密码系统或非对称密码通信处理，其中说多变量公钥密码系统是一个密码通信处理包括：

a)一个公开变换，这个变换将表示成有限域或环k上n维向量的值X＝(x₁，...，x_n)通过k上的一组(m个)次数为低次(d)的多变量多项式(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))变换为表示成为k上m维向量的值Y＝(y₁，...，y_m)。并且这个变换是公开可得到的，通过(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝(y₁，...，y_m)来计算。这其中的公开变换可以由任何人使用，以加密一条消息或验证一个文件的数字签名或数字认证码的真实性；

b)一个秘密变换，即利用秘密密钥的知识来逆转由(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))定义的变换，从而由值Y得到值X的过程。其中知道密码密钥的合法用户用秘密变换来加密消息，或生成文件的数字签名或文件的认证码；

c)在以前已有的MPKC基础上生成一族新的多变量公钥密码系统或新的非对称密码通信处理，包括以下步骤：

i)通过添加少量(r个)的随机或特定选择的内部变量 $z_i=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{a}_{\mathrm{ij}}{x}_j+b_i,$ i＝1，..，r来直接对已有的MPKC添加内部扰动，其中zi的线性部分(除去常数项b_i)作为x_i的函数是线性无关的；

ii)添加更多(α个)随机或特别选择的多项式到准备扰动的MPKC中，并且通过复合随机或特定选择的可逆仿射线性变换来将这一切混合在一起，以使得新的MPKC有一个新的变换，这个变换通过有限域或环k上一组新的(m+α个)多变量多项式(f₁ ⁺(x₁，...，x_n)，...，f⁺ _m+α(x₁，...，x_n))将表示为k上n维向量的值X＝(x₁，...，x_n)变换为另一表示为k上(m+α)值Y⁺＝(y₁，...，y_m+α)；

iii)一个秘密变换，该变换利用原体制的密码秘密和“加”步骤及“附加”步骤中的秘密的知识来逆转(f₁ ⁺(x₁，...，x_n)，...，f⁺ _m+α(x₁，...，x_n))，从而由值Y⁺得到值X。

2.一个密码学方法，应用于一个多变量公钥密码系统(MPKC)来生成新的多变量公钥密码系统或非对称密码通信处理，其中说多变量公钥密码系统是一个密码通信处理包括：

a)一个公开变换，这个变换将表示成为有限域或环k上n维向量的值X＝(x₁，...，x_n)通过k上的一组(m个)次数为低次(d)的多变量多项式(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))变换为表示成为k上m维向量的值Y＝(y₁，...，y_m)。并且这个变换是公开可得到的，变换由(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝(y₁，...，y_m)来计算。这其中的公开变换可以由任何人使用，以加密一条消息或验证一个文件的数字签名或数字认证码的真实性；

b)一个秘密变换，即利用秘密密钥的知识来逆转由(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))定义的变换，从而由值Y得到值X的过程。其中知道密码密钥的合法用户用秘密变换来加密消息或生成文件的数字签名或文件的认证码；

c)在以前已有的MPKC基础上生成一族新的多变量公钥密码系统或新的非对称密码通信处理，包括以下步骤：

i)通过添加随机或特定选择的内部变量 $z_i(x_1,\·\·\·,x_n)=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{e}_{\mathrm{ij}}{x}_j+b_j,$ i＝1，..，r以及添加一些特定选择的多项式项来对已有的MPKC添加内部扰动，其中z_i的线性部分(除去常数项b_i)作为x_i的函数是线性无关的，那些特定选择的多项式项是内部变量z₁，...，z_r与原MPKC体制中的多项式项的乘积；

ii)通过复合随机或特别选择的可逆仿射线性变换来将这一切混合在一起，以使得新的MPKC有一个新的变换，这个变换通过有限域或环k上一组新的(m个)多变量多项式(f₁ ^e(x₁，...，x_n)，...，f^e _m(x₁，...，x_n))将表示为k上n维向量的值X＝(x₁，...，x_n)变换为另一表示为k上m维向量的值Y＝(y₁，...，y_m)；

iii)一个秘密变换，该变换利用原体制的密码秘密和加步骤及混合步骤中的秘密的知识来逆转(f₁ ^e(x₁，...，x_n)，...，f^e _m(x₁，...，x_n))从而由值Y得到值X。

3.一个应用于油—醋多变量密码系统(MPKC)的方法，通过将多层油—醋构造连在一起来生成新的多变量公钥密码系统或非对称密码通信处理，其中说油—醋多变量公钥密码系统是一个密码通信处理包括：

a)一个公开变换，这个变换将表示成有限域或环k上n维向量的值X＝(x₁，...，x_n)通过k上的一组(m个)次数为低次(d)的多变量多项式(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))变换为表示成k上m维向量的值Y＝(y₁，...，y_m)。并且这个变换是公开可得到的，变换由(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝(y₁，...，y_m)来计算。这其中的公开变换可以由任何人使用，以加密一条消息或验证一个文件的数字签名或数字认证码的真实性；

b)一个秘密变换，即利用秘密密钥的知识来逆转由(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))定义的变换从而由值Y得到值X的过程。其中知道密码秘密的合法用户用秘密变换来加密消息或生成文件的数字签名或文件的认证码；

c)(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))可以分解成三个变换的复合：(f₁(x₁，...，x_n)，...，f_m(x₁，...，x_n))＝L₂ο FοL₁(x₁，...，x_n)，其中ο表示变换的复合，L₁，L₂分别是kⁿ和k^m上的可逆仿射线性变换，使得 F(x₁，...，x_n)＝( f₁(x₁，...，x_n)，...， f_m(x₁，...，x_n))以下列方式给出，变量x₁，...，x_n的集合分为两组，x₁，...，x_v是第一组，称为油变量；x_v+1，...，x_n是第二组称为醋变量并且我们可以找到 F的逆变换或等价地，通过猜测醋变量的值，有一个快速算法可以解方程 F(x₁，...，x_n)＝(y₁，...，y_m)(或找到该方程的一个或全部解)。

d)在以前已有的MPKC基础上生成一族新的多变量公钥密码系统或新的非对称密码通信处理，包括以下步骤：

i)将变量划分为不同的层的油和醋变量，使得在每一层都可以使用油—醋构造而且该层以前的层中的变量(所有的油和醋变量)都成为这一层的醋变量，

ii)通过复合随机的或特定选择的可逆仿射变换将这一切混合在一起，使得这个新的MPKC有一个秘密变换，这个变换需要划分和混合步骤中的秘密。

4.根据权利要求1所述的方法，其中最后的公开多项式是2次或更高次的。

5.根据权利要求2所述的方法，其中最后的公开多项式是2次或更高次的。

6.根据权利要求3所述的方法，其中最后的公开多项式是2次或更高次的。

7.根据权利要求1所述的方法，其中任何随机选择或特定选择的多项式或线性函数既可以是所有系数都随机选择，也可以选择大部分系数为零而某些特别的系数是随机的。

8.根据权利要求2所述的方法，其中任何随机选择或特定选择的多项式或线性函数既可以是所有系数都随机选择，也可以选择大部分系数为零而某些特别的系数是随机的。

9.根据权利要求3所述的方法，其中任何随机选择或特别选择的多项式或线性函数既可以是所有系数都随机选择，也可以选择大部分系数为零而某些特别的系数是随机的。