CN103220146B - 基于多变量公钥密码体制的零知识数字签名方法 - Google Patents

Abstract

基于多变量公钥密码体制的零知识数字签名方法，包括生成***参数步骤、签名生成步骤和签名验证步骤。用户通过公开其基于多变量公钥密码的公钥，保密对应的私钥。签名者可以利用自己的私钥，对任意消息签名。该数字签名可以被任何验证者利用签名者的公钥来验证。如果签名验证通过，则说明该消息的签名是真实的。

Description

基于多变量公钥密码体制的零知识数字签名方法

技术领域

本发明属于信息安全技术领域，涉及一种基于多变量公钥密码体制的零知识数字签名方法。

背景技术

数字签名在信息安全，特别是数据真实性、完整性和不可否认性等方面有重要应用。

数字签名能够和传统的手写签名一样起到法律认证的作用。相比之下，手写签名在以计算机和互联网为基础的信息时代显现出很大的局限性。因为，手写签名在计算机网络中，极易拷贝伪造。而数字签名中包含签名者所使用的秘密钥的信息，不知道该私钥的任何人伪造数字签名都是几乎不可能的。因此，数字签名更适合于新时代的应用要求。人们可以通过网络进行远程文件签署，提高工作效率。

许多数字签名方法是基于传统密码体制的，如RSA和DSA等数字签名算法等，大部分都是基于大整数因子分解和离散对数问题的传统公钥密码体制的。

然而，量子计算机的出现对传统公钥密码体制造成了威胁，出于安全性和高效性的迫切需求，多变量公钥密码体制（MPKCs）迅速成为一种新型快速的公钥密码体制。它是基于有限域上多元二次多项式方程组的一个NP-困难求解问题，量子计算机在处理NP困难问题上并没有显现出任何优势，

MPKCs以其高的计算效率有可能成为后量子时代安全的密码体制。MPKCs可分为两极***和混合***。两极***主要有MI、HFE、OV、TTM和l-IC体制等。研究后量子时代安全的零知识数字签名方法具有重要的理论和实际意义。

发明内容

本发明的目的是提供一种基于多变量公钥密码体制的零知识数字签名方法，解决现有技术在量子计算下不再安全的问题。

本发明的目的是这样实现的，基于多变量公钥密码体制的零知识数字签名方法，包括以下步骤：

步骤1.生成***参数；***参数为(k,q,l,m,n,H)，其中q,l是安全参数，k=GF(q^l)是一个有限域，m为多变量方程的个数，n为变量的个数。H:{0,1}^*→kⁿ为一个密码学安全的单向抗碰撞的哈希函数；

密钥生成：签名者对应的私钥SK＝{L₁,F,L₂}，其中F是可逆中心映射，L₁和L₂分别是k^m和kⁿ上的可逆仿射变换；签名者的公钥PK是m个具有n个变量的多项式分量，这里符号。表示函数复合；

步骤2.签名生成；签名者对消息M∈{0,1}^*进行签名，步骤如下：

（1）随机选择u_i∈k^m，其中i＝1,...,t；

（2）计算

c＝H(M||PK||u₁||...||u_t)∈kⁿ；

（3）计算

（4）输出消息M∈{0,1}^*的零知识签名σ＝(c,s₁,...,s_t)；

步骤3.签名验证：

对消息M的签名σ＝(c,s₁,...,s_t)，任何验证者验证利用签名者的公钥验证等式

$c=H\left(M\right|\left|\mathrm{PK}\right||\stackrel{\‾}{F}\left(s_1\right)+\stackrel{\‾}{F}\left(c\right)||...||\stackrel{\‾}{F}\left(s_t\right)+\stackrel{\‾}{F}\left(c\right))$

是否成立。如果成立，则接受该签名；否则拒绝该签名。

本发明的有益效果是

1、本发明可以解决现有的零知识数字签名方法在量子计算下将不再安全的缺陷，既具有安全性又具有计算效率高的优点。

2、本发明提出的基于多变量公钥密码体制的零知识数字签名方法，满足完全性、不可伪造性和零知识证明性，在后量子密码时代可能依然安全。

具体实施方式

下面结合具体实施方式对本发明作进一步详细的说明。

基于多变量公钥密码体制的零知识数字签名方法，按照以下步骤实施：

步骤1.生成***参数

***参数为(k,q,l,m,n,H)。其中q,l是安全参数，k=GF(q^l)是一个有限域，m为多变量方程的个数，n为变量的个数。H:{0,1}^*→kⁿ为一个密码学安全的单向抗碰撞的哈希函数；

密钥生成：签名者对应的私钥SK＝{L₁,F,L₂}，其中F是可逆中心映射，L₁和L₂分别是k^m和kⁿ上的可逆仿射变换。签名者的公钥是m个具有n个变量的多项式分量。这里符号。表示函数复合。

步骤2.签名生成

签名者对消息M∈{0,1}^*进行签名，步骤如下：

（1）随机选择u_i∈k^m，其中i＝1,...,t；

（2）计算

c＝H(M||PK||u₁||...||u_t)∈kⁿ；

（3）计算

（4）输出消息M∈{0,1}^*的零知识签名σ＝(c,s₁,...,s_t)。

步骤3.签名验证

对消息M的签名σ＝(c,s₁,...,s_t)，任何验证者验证利用签名者的公钥验证等式 $c=H\left(M\right|\left|\mathrm{PK}\right||\stackrel{\‾}{F}\left(s_1\right)+\stackrel{\‾}{F}\left(c\right)||...||\stackrel{\‾}{F}\left(s_t\right)+\stackrel{\‾}{F}\left(c\right))$ 是否成立，如果成立，则接受该签名；否则拒绝该签名。

关于本发明基于多变量公钥密码体制的零知识数字签名方法的安全性分析：

1.正确性

如果签名者诚实的遵循了签名过程的每一步，那么消息M的签名

σ＝(c,s₁,...,s_t)满足：

$H\left(M\right|\left|\mathrm{PK}\right||\stackrel{\‾}{F}\left(s_1\right)+\stackrel{\‾}{F}\left(c\right)||...||\stackrel{\‾}{F}\left(s_t\right)+\stackrel{\‾}{F}\left(c\right))$

$=H\left(M\right|\left|\mathrm{PK}\right|\left|u_1\right||...|\left|u_t\right)$

$=c$

验证者总是接受签名，因此方法具有完全性。

2.不可伪造性

假设签名者是一个欺骗者，即他不知道私钥SK＝{L₁,F,L₂}，企图来伪造一个消息M有效的签名。签名伪造者成功的途径之一是他随机选择u_i∈k^m，其中i＝1,...,t；然后计算

c＝H(M||PK||u₁||...||u_t)∈kⁿ接下来，在没有私钥的前提下，伪造者需要通过方程来计算s_i,i＝1,…,t，伪造者知道u_i和c，求解该方程，在二次多变量方程的求解是一个困难问题的假设下，是困难的。目前学术界公认二次多变量方程的求解是一个困难问题。所以这种伪造成功的概率很小。

签名伪造者成功的途径之二是求解满足验证式 $c=H\left(M\right|\left|\mathrm{PK}\right||\stackrel{\‾}{F}\left(s_1\right)+\stackrel{\‾}{F}\left(c\right)||...||\stackrel{\‾}{F}\left(s_t\right)+\stackrel{\‾}{F}\left(c\right))$ 的一组解σ＝(c,s₁,...,s_t)，在hash函数H:{0,1}^*→kⁿ是一个密码学安全的单向抗碰撞的假设下是困难的。

实施例1.基于多变量oil-vinegar公钥密码体制的交互式零知识身份证明方法。

步骤1.生成***参数：

（1）设置k＝GF(q)是特征为p＝2的有限域，其中q＝2⁸。

（2）令o＝30,v＝64，m＝o＝30为多变量方程组中方程的个数，n＝o+v＝97为变量的个数。

（3）选择安全哈希函数，H:{0,1}^*→k⁹⁷，具体可以取安全哈希函数为sha-512||sha-384的896比特位输出的前776比特位，然后按照776=8*97转化为有限域k＝GF(2⁸)上的97个变量。

密钥生成：证明者随机选择F是从k⁹⁷到k³⁰的可逆Oil-Vinegar多项式映射，Oil-Vinegar多项式是任意一个具有如下形式的总次数为2的多项式

$f=\underset{i=1}{\overset{o}{\mathrm{\Σ}}}\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{a}_{\mathrm{ij}}{x}_i{\hat{x}}_j+\underset{i=1}{\overset{v}{\mathrm{\Σ}}}\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{b}_{\mathrm{ij}}{\hat{x}}_i{\hat{x}}_j+\underset{i=1}{\overset{o}{\mathrm{\Σ}}}{c}_i{x}_i+\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{d}_j{\hat{x}}_j+e$

其中a_ij,b_ij,c_i,d_j,e∈k。这里o＝30,v＝64。

令F:kⁿ→k^o是一个多项式映射，形式如下：

$F(x_1,\·\·\·,x_o,{\hat{x}}_1,\·\·\·,{\hat{x}}_v)=(f_1,\·\·\·f_o)$

其中是Oil-Vinegar多项式。这里n＝o+v＝97。

证明者随机选择L₂是从kⁿ到kⁿ的一个可逆仿射变换

$L_2({\hat{x}}_1,\·\·\·,{\hat{x}}_v,x_1,\·\·\·,x_o)=M_2{({\hat{x}}_1,\·\·\·,{\hat{x}}_v,x_1,\·\·\·,x_o)}^T+a_2$

其中M₂是有限域k上的一个n×n的可逆矩阵，a₂有限域k上的一个n×1的列向量。

证明者公布其公钥则

$\stackrel{\‾}{F}({\hat{x}}_1,\·\·\·,{\hat{x}}_v,x_1,\·\·\·,x_o)=({\stackrel{\‾}{f}}_1,\·\·\·,{\stackrel{\‾}{f}}_0)$

其中每一个 中的多变量多项式。

证明者保密其私钥SK＝{F,L₂}。

注：多变量oil-vinegar公钥密码体制中，可以不选k^m上的可逆仿射变换L₁。

步骤2.签名生成：

签名者对消息M∈{0,1}^*进行签名，步骤如下：

（1）随机选择u_i∈k^m，其中i＝1,...,t；这里可以取t＝8。

（2）然后计算

c＝H(M||PK||u₁||...||u_t)∈kⁿ；

（3）计算

注：这里求逆F^-1的时候，首先任取一组然后求解（x₁,…,x_o）。

（4）输出消息M∈{0,1}^*的零知识签名σ＝(c,s₁,...,s_t)。

步骤3.签名验证：

对消息M的签名σ＝(c,s₁,...,s_t)，任何验证者验证利用签名者的公钥验证等式 $c=H\left(M\right|\left|\mathrm{PK}\right||\stackrel{\‾}{F}\left(s_1\right)+\stackrel{\‾}{F}\left(c\right)||...||\stackrel{\‾}{F}\left(s_t\right)+\stackrel{\‾}{F}\left(c\right))$ 是否成立。如果成立，则接受该签名；否则拒绝该签名。

本发明签名方法中，用户通过公开其基于多变量公钥密码的公钥，保密对应的私钥。签名者可以利用自己的私钥，对任意消息签名。该签名可以被验证者利用签名者的公钥来验证。如果签名验证通过，则说明该消息的签名是真实的。

与基于传统的密码体制的数字签名方法相比，本发明具有计算效率高，在量子计算下安全的优势。

Claims (1)

1.基于多变量公钥密码体制的零知识数字签名方法，其特征在于，包括生成***参数步骤、签名生成步骤和签名验证步骤，具体步骤如下：

步骤1.生成***参数：

选择***参数为(k,q,l,m,n,t,H)，其中q，l是安全参数，k是一个有限域，记为k＝GF(q^l)，其中的元素个数为q^l，这里GF是有限域的英文缩写，m是多变量方程的个数，n是变量的个数，H:{0,1}^*→kⁿ为一个密码学安全的单向抗碰撞的哈希函数，这里kⁿ代表有限域k上的n维向量空间；

密钥生成：签名者对应的私钥SK＝{L₁,F,L₂}，其中F是可逆中心映射，L₁和L₂分别是向量空间k^m和kⁿ上的可逆仿射变换，签名者的公钥PK是m个具有n个变量的多项式分量，这里符号表示函数复合；

步骤2.签名生成：

签名者对消息M∈{0,1}^*进行签名，步骤如下：

(1)随机选择u_i∈k^m，其中u_i为随机向量，i＝1,...,t；

(2)计算

c＝H(M||PK||u₁||...||u_t)∈kⁿ；

(3)计算

其中，c为步骤(2)H(M||PK||u₁||...||u_t)∈kⁿ的计算结果；

(4)输出消息M∈{0,1}^*的零知识签名σ＝(c,s₁,...,s_t)；

步骤3.签名验证：

对消息M的签名σ＝(c,s₁,...,s_t)，任何验证者验证利用签名者的公钥验证等式

$c=H\left(M\right|\left|PK\right|\left|\stackrel{\‾}{F}\right(s_1)+\stackrel{\‾}{F}(c\left)\right||...|\left|\stackrel{\‾}{F}\right(s_t)+\stackrel{\‾}{F}(c\left)\right)$

是否成立，如果成立，则接受该签名，否则拒绝该签名，其中，c为步骤(2)中H(M||PK||u₁||...||u_t)∈kⁿ的计算结果。