CN1372739A

CN1372739A - 利用特殊的素数,证实实体的真实性和/或消息的完整性和/或真实性的方法、***和设备

Info

Publication number: CN1372739A
Application number: CN00803197A
Authority: CN
Inventors: 路易斯·基罗; 让-加奎斯·奎斯括特
Original assignee: Telediffusion de France ets Public de Diffusion; France Telecom SA
Current assignee: Finland Dili Tam Nv LLC
Priority date: 1999-01-27
Filing date: 2000-01-27
Publication date: 2002-10-02
Anticipated expiration: 2020-01-27
Also published as: AU769444B2; JP2003519447A; EP1145473A2; JP4772189B2; AU769446C; EP1145472A3; EP1145482A3; CA2360887C; JP2002540653A; WO2000046947A3; US7266197B1; EP1145482A2; CN1408154A; CA2361627A1; EP1145473B1; CN1322700C; AU2298400A; EP1145473A3; EP1145472A2; AU2298600A

Abstract

证明由下述参数提供:一个公共模数n,由f个素数p_i的乘积构成,f>2;一个公共上标v;m个基数g;m>1。基数g_i是这样的基数,以致不能在整数模数n环中,求解两个等式x²≡g_imodn和x²≡－g_imodn的x,并且以致能够在整数模数n环中,求解等式x^v≡g_i ²modn的x,其中公式上标v采用v=2^k的形式,其中k是安全参数。

Description

利用特殊的素数，证实实体的真实性和/或消息的完整性和/或真实性的方法、***和设备

本发明涉及用于证实实体的真实性和/或消息的完整性和/或真实性的方法，***和设备的技术领域。

Louis Guillou和Jean-Jacques Quisquater的专利EP 0311470B1描述了这样一种方法。下面，将借助术语“GQ专利”或“GQ方法”提及他们的工作。下面，词句“GQ2”或“GQ2发明”或“GQ2技术”将用于描述GQ技术的新发展，所述GQ技术的新发展是由法国电信，TDF和Mathrizk公司在和本申请同一天登记的待审批申请的目的，发明人是Louis Guillou和Jean-Jacques Quisquater。在下面的说明中，每当需要时，就会再引用这些待审批申请的特征。

按照GQ方法，称为“受托管理机构”的实体向称为“证人”的每个实体分配一个身份，并计算其RSA签名。在定制过程中，受托管理机构给予证人一个身份和签名。之后，证人做出如下声明：“这是我的身份；我了解它的RSA签名”。在***漏真相的情况下，证人证明他知道他的身份的RSA签名。通过受托管理机构分配的RSA公用标识密钥，称为“控制者”的实体在不获得有关知识的情况下，确定RSA签名和声明实体相符。使用GQ方法的机制“在不传送知识的情况下”发生作用。按照GQ方法，证人不必知道RSA专用密钥，受托管理机构利用所述RSA专用密钥签署了大量的身份。

上面描述的GQ技术利用了RSA技术。但是，虽然RSA技术确实依赖于模数n的因数分解，但是这种相关性并不等效，如同可在针对实现RSA技术的数字签名的各种标准的所谓乘法攻击中看到的那样，事实上离等效差得很远。

GQ2技术的目标在于两个方面：首先是提高RSA技术的工作特性，其次是防止RSA技术中固有的问题。GQ2专用密钥的知识等同于模数n的因数分解的知识。对三元组GQ2的任何攻击导致模数n的因数分解：此时存在等效性。借助GQ2技术，降低了签名或自我证明实体，以及控制实体的工作量。通过在安全和性能两方面，因数分解问题的更好地使用，GQ2防止了RSA技术的缺陷。

GQ方法实现包含512个或更多二进制位的数字的模数计算。这些计算涉及具有自乘到大约2¹⁶次幂+1的基本相同大小的数字。现在，现有的微电子基础结构，尤其是银行卡领域中的微电子基础结构使用不具有算术协理器的单片自动编程的微处理器。和诸如GQ方法之类的方法中所涉及的多重算术应用相关的工作量导致计算时间很长，在某些情况下，较长的计算时间被证明不利于顾客使用银行卡支付他们的购买。这里会回想起，在设法提高支付卡的安全性的情况下，银行管理机构已引起一个特别难以解决的问题。实际上，必须解决两个明显相互矛盾的问题；一方面，通过对于每个银行卡，使用越来越长并且截然不同的密钥，提高安全性，而另一方面，防止工作量耗费用户过多的计算时间。由于还必须考虑到现有的基础结构和现有的微处理器元件，该问题变得特别严重。

在提高安全性的同时，GQ2技术提供了该问题的解决方案。

GQ2技术实现特殊性质的素数。产生这些素数的现有技术有很多种。本发明的目的是这种素数的***产生方法。本发明还涉及可由尤其是在GQ2技术的实现中的这些素数产生的应用。这里必须强调，在GQ2技术的领域之外，也可应用这些特殊的素数，以及用于获得这些素数的方法。

本发明可应用于设计成向控制者实体证实下述内容的方法(GQ2方法)：

-实体的真实性和/或

-与该实体相关的消息M的完整性。

借助所有或部分下述参数或它们的衍生物产生这种证实：

-由f个素数p₁，p₂，…p_f(f等于或大于2)的乘积构成的公共模数n，

-公共指数v；

-m个相异的整数基数g₁，g₂…g_m(m大于或等于1)。

基数g_i是这样的基数，以致不能在整数模数n环中，求解下述两个等式(1)和(2)的x：

x²≡g_imodn 和 x²≡-g_imodn

并且以致能够在整数模数n环中，求解等式(3)的x：

x^{v} &equiv; g_{i}^{2} \mod n

根据本发明的方法被用于以满足等式(1)，(2)和(3)的方式，产生f个素数p₁，p₂，…p_f。根据本发明的方法包括首先选择下述内容的步骤：

m个基数g₁，g₂…g_m，

模数n的大小，

f个素数p₁，p₂，…p_f的大小。

该方法涉及公共指数v具有下述形式的情况：

v=2^k

这里，k是大于1的安全参数。安全参数k也被选择为素数。这种特殊值的指数v是GQ2技术的本质特征之一。

最好，至少部分地在第一部分整数内选择m个基数g₁，g₂，…g_m。安全参数k最好是一个小整数，尤其是小于100的整数。模数n的大小最好大于几百个二进制位。f个素数p₁，p₂，…p_f的大小最好接近于被除以素数数目f的模数n的大小。

按照根据本发明的方法的一个主要特征，不以任何非特定的方式选择f个素数p₁，p₂，…p_f。在f个素数之内，其中的一些素数：e将被选择为全等于1(mod 4)。素数的该数目e可能为0。如果e为0，则下面将把模数n称为基本模数。如果e＞0，下面将把模数n称为复合模数。其它f-e个素数被选择为全等于3(mod 4)。素数的该数目f-e至少等于2。

全等于3(mod 4)的f-e个素数的选择

为了产生全等于3(mod 4)的f-e个素数p₁，p₂，…P_f-e。执行下述步骤：

-选择全等于3(mod4)的第一素数p₁，

-选择第二素数p₂，以致相对于基数g₁，p₂与p₁互补。

为了选择素数p_i+1，使用下述程序区分两种情况：

(1)i＞m的情况

如果i＞m，则选择全等于3(mod4)的素数p_i+1。

(2)i≤m的情况

如果i≤m，则计算g_i相对于i个第一部分素数p_i的廓线(Profile_i(g_i))：

如果Profile_i(g_i)平直，则选择因数p_i+1，使得相对于g_i，p_i+1和p₁互补，

否则，在i-1个基数g₁，g₂，…g_i-1和它们的全部乘法组合中，选择数字g，使得Profile_i(g)＝Profile_i(g_i)，随后选择p_i+1，使得Profile_i+1(g_i)≠Profile_i+1(g)。

术语“互补”，“廓线”，“平直廓线”具有在说明部分中定义的含义。

为了选择最后的素数p_f-e，使用下述程序区分三种情况：

(1)f-e-1＞m的情况

如果f-e-1＞m，则选择全等于3(mod4)的p_f-e。

(2)f-e-1＝m的情况

如果f-e-1＝m，则相对于从p₁～p_f-e-1的f-e-1个第一部分素数，计算Profile_f-e-1(g_m)。

如果Profile_f-e-1(g_m)平直，则选择p_f-e-1，使得相对于g_m，p_f-e-1和p₁互补，

否则，进行下面规定的程序：

在从g₁～g_m-1的m-1个基数及它们的全部乘法组合中，选择下面称为g的数字，使得Profile_i(g)＝Profile_i(g_i)，随后选择p_f-e，使得Profile_f-e(g_i)≠Profile_f-e(g_m)。

(3)f-e-1＜m的情况

如果f-e-1＜m，则选择p_f-e，以便满足下述两个条件：

(3.1)第一条件

根据从p₁～P_f-e-1的f-e-1个第一部分素数，计算Profile_f-e-1(g_f-e-1)。随后考虑两种情况。根据这两种情况中的任意一种情况，第一条件将不同。

如果Profile_f-e-1(g_f-e-1)平直，则选择p_f-e，使得p_f-e满足相对于g_f-e-1，p_f-e和p₁互补的第一条件(根据第一种情况的第一条件)。否则，在从g₁～g_m-1的f-e-1个基数及它们的全部乘法组合之内，选择下面称为g的数字，使得Profile_i(g)=Profile_f-e-1(g_f-e-1)，并且随后选择p_f-e，使得它满足使Profile_f-e(g)≠Profile_f-e(g_m)的条件(根据第二种情况的第一条件)。

(3.2)第二条件

在从g_f-e～g_m的所有最后一些基数之内，选择其廓线Profile_f-e-1(g_i)平直的那些基数，随后选择P_f-e，以致p_f-e满足相对于这样选择的每个基数，p_f-e和p₁互补的条件(第二条件)。

全等于1(mod 4)的素数的选择

为了产生全等于1(mod 4)的e个素数，在进行下述两个连续测试的情况下，评估从p_f-e～p_f的每个候选素数p：

(1)第一测试

计算从g₁～g_m的每个基数相对于候选素数p的Legendre符号，

如果Legendre符号等于-1，则拒绝候选素数p，

如果Legendre符号等于+1，则转到下一基数，继续候选素数p的评估，并且随后当已考虑了最后一个基数时，转到第二测试。

(2)第二测试

计算整数t，使得p-1可被2^t除尽，但是不可被2^t+1除尽，随后计算整数s，使得s=(p-1+2^t)/2^t+1。

把密钥<s，p>应用于每个公共值G_i，以便得到结果r

r &equiv; G_{i}^{s} \mod p

如果r等于g_i或-g_i，则转到下一公共值G_i+1，继续第二测试。

如果r不等于g_i或-g_i，则通过对于从1～t-2的上标ii，应用下面规定的算法，计算因数u。该算法实现两个变量：由r初始化的w和取从2～2^t-2的值的jj＝2ⁱⁱ，以及通过把密钥<(p-1)/2^t，p>应用于CG(p)的非二次剩余，得到的数字b。该算法由根据需要多次重复下述程序组成：

·步骤1：计算w²/G_i(mod p)，

·步骤2：使计算结果自乘到2^t-ii-1次幂。考虑两种情况。

第一种情况

如果得到+1，则转到下一公共值G_i+1，并对该公共值进行第二测试。

第二种情况

如果得到-1，则计算jj＝2ⁱⁱ，随后用w.b^jj(mod p)替换w。随后，对于具有上标ii的下一数值，继续该算法。

在算法结束时，依据关系jj＝2^t-u，变量jj的值被用于计算整数u，随后计算表达式t-u。出现两种情况：

如果t-u＜k，则拒绝候选素数p，

如果t-u＞k，则转到下一公共值G_i+1继续候选素数p的评估，并且随后继续第二测试。

如果在第二测试结束时，对于所有m个公共值G_i，候选素数p都未被拒绝，则候选素数p被看作是全等于1(mod4)的素数。

关于GQ2的公共值和专用值的应用

本发明还涉及应用上面描述的方法，并且可回想起，使得能够产生具有特殊性质的f个素数p₁，p₂，…p_f的一种方法(GQ2方法)。上面描述的方法的应用方法用于向控制者实体证明下述内容：

-实体的真实性和/或

-与该实体相关的消息M的完整性，

借助所有或部分下述参数或者这些参数的衍生物，建立这种证明：

-m对专用值Q₁，Q₂，…Q_m和公共值G₁，G₂，…G_m(m大于或等于1)，

-由所述f个素数p₁，p₂，…p_f的乘积构成的公共模数n(f大于或等于2)，

-公共指数v。

所述模数，所述指数和所述值由下述类型的关系连接：

G_{i} \cdot G_{i}^{v} &equiv; 1 \cdot \mod n

或者

G_{i} &equiv; Q_{i}^{v} \mod n

所述指数为v＝2^k

其中k是大于1的安全参数。

所述公共值G_i是小于f个素数p₁，p₂，…p_f的基数g_i的平方g_i ²。基数g_i是这样的基数，以致不能在整数模数n环中，求解下述两个等式的x：

x²≡g_imodn 和 x²≡-g_imodn

并且以致能够在整数模数n环中，求解下述等式的x：

x^{v} &equiv; g_{i}^{2} \mod n

所述方法按照下述步骤实现称为证人的实体。所述证人实体具有f个素数p_i和/或素数的中国余数参数，和/或公共模数n和/或m个专用值Q_i和/或专用值Q_i的f.m分量(Q_i，j≡Q_i mod p_j)的参数，以及公共指数v的参数。

证人计算整数模数n环中的承诺(commitment)R。或者通过执行下述类型的运算，计算每个承诺，方式是：

·通过执行下述类型的运算：

R≡r^v modn

这里r是大于0，小于n的随机因数，

·或者通过执行下述类型的运算：

R_{i} &equiv; r_{i}^{v} \mod p_{i}

这里r_i是与素数p_i相关的随机值，并且0＜r_i＜p_i，每个r_i属于一组随机因数{r₁，r₂，…r_f}的集合，随后通过应用中国余数方法，计算每个承诺。

证人接收一个或多个挑战d。每个挑战d包含下面称为基本挑战的m个整数d_i。根据每个挑战d，证人或者通过执行下述类型的运算，计算响应D：

D &equiv; r \cdot Q_{1}^{d 1} \cdot Q_{2}^{d 2} \cdot \cdot \cdot \cdot Q_{m}^{dm} \mod n

或者通过执行下述类型的运算：

D_{i} &equiv; r_{i} \cdot Q_{i, 1}^{d 1} \cdot Q_{i, 2}^{d 2} \cdot \cdot \cdot \cdot Q_{i, m}^{dm} \mod p_{i}

并且随后应用中国余数方法，计算响应D。

该方法使得存在和挑战d及承诺R同样多的响应D，每组数字R，d，D构成表示为{R，d，D}的三元组。

为了实现上面所述的多对专用值Q₁，Q₂，…Q_m和公共值G₁，G₂，…G_m，该方法使用素数p₁，p₂，…p_f和/或中国余数参数，基数g₁，g₂，…g_m和/或公共值G₁，G₂，…G_m：

-通过求G_i的第k个平方根模数n，或者通过取G_i的第k个平方根模数n的倒数，计算专用值Q₁，Q₂，…Q_m

-或者计算专用值Q₁，Q₂，…Q_m的f.m个专用分量Q_i，j，使得Q_i，j≡Q_i(mod p_j)。

更具体地说，为了计算专用值Q₁，Q₂，…Q_m的f.m个专用分量Q_{i， j}：

-应用密钥<s，p_j>计算z，使得：

z &equiv; G_{i}^{s} (\mod p_{i})

-并且使用t和u值。

当p_j全等于1(mod 4)时，如前所述计算t和u值。当p_j全等于3(mod 4)时，t和u的值分别取为1和0(t＝1，u＝0)。

如果u值为0，我们认为所有的数字zz为：

···zz等于z，或者

···zz等于z与1的2^ii-t2ⁱⁱ次原根中的每个原根的乘积(mod p_j)，ii从1变化到min(k，t)。

如果u为正数，我们认为所有的数字zz等于za与1的2^k 2^k次根中的每个根的乘积(mod p_j)，za表示上面描述的算法结束时，变量w的值。

据此推导出分量Q_i，j的至少一个值。当使用等式

时，该值等于zz，否则，当使用等式时，该值等于zz的zz(modp_j)的倒数。

说明

可回想GQ技术的目的：其目的是实体和相关消息的动态证明，以及消息的数字签名。

标准形式的GQ技术利用RSA技术。但是，尽管RSA技术确实依赖于因数分解，但是这种相关性并不等效，可从针对实现RSA技术的各种数字签名标准的称为乘法攻击的攻击中看到，事实上离等效差得很远。

在GQ2技术的环境下，本发明的本部分更具体地涉及用于提供动态证明和数字签名的成组GQ2密钥的产生。GQ2技术并不使用RSA技术。GQ2的目标在于两个方面：首先是提高RSA技术的性能，其次是防止RSA技术中固有的问题。GQ2专用密钥是模数n的因数分解。对GQ2三元组的任何攻击相当于模数n的因数分解：此时存在等效性。借助GQ2技术，降低了签名或证明实体，以及控制实体的工作量。通过在安全和性能两方面，因数分解问题的更好地使用，GQ2比得上RSA技术。

GQ2技术使用一个或多个大于1的小整数，例如称为基数，并以g_i表示的m个小整数(m＞1)。随后，如下所述选择公共验证密钥＜v，n＞。公共验证密钥v为2^k，k是大于1的小整数(k≥2)。公共模数n是大于基数的至少两个素数的乘积，例如表示为p_j的f个素数(f≥2)，p₁…p_f。严选择f个素数，以便相对于m个基数(g₁-g_m)中的每个基数，公共模数n具有下述性质：

-首先，不能用整数模数n环中的x解答等式(1)和(2)，即，g_i和-g_i是两个非二次剩余(mod n)。

x²≡g_i(mod n) (1)

x²≡-g_i(mod n) (2)

-其次，可用整数模数n环中的x解答等式(3)。

x^{2^{k}} &equiv; g_{i}^{2} (\mod n) - - - (3)

下面，这些性质也被称为GQ2原理。

由于按照从g₁-g_m(m≥1)的基数，公共验证密钥<v，n>是固定的，因此每个基数g_i确定包含公共值G_i和专用值Q_i的一对值GQ2：产生表示为G₁Q₁-G_mQ_m的m对值。公共值G_i是基数g_i的平方：

。专用值Q_i是等式(3)的解答或者这种解答的反(mod n)。

如同模数n被分解为f个素数一样，整数模数n环被分解为f个伽罗瓦域，从CG(p₁)到CG(p_f)。下面是等式(1)，(2)和(3)在CG(p_j)中的投影。

x²≡g_i(mod p_j) (1.a)

x²≡-g_i(mod p_j) (2.a)

x^{2^{k}} &equiv; g_{i}^{2} (\mod p_{j}) - - - (3 . a)

每个专用值Q_i可唯一地由f个专用分量表示，每个素数对应一个专用分量：Q_i，j≡Q_i(mod p_j)。每个专用分量Q_i，j是等式(3.a)的解答或者这种解答的反(mod p_j)。在计算了每个等式(3.a)的所有可能解答之后，中国余数方法根据f个分量Q_i，1-Q_i，f，确定每个专用值Q_i的可能数值：Q_i＝中国余数(Q_i，1，Q_i，2，…，Q_i，f)，以便获得等式(3)的所有可能解答。

下面是中国余数方法：假定存在互为素数的两正整数a和b，0＜a＜b，以及两个分量，从0到a-1的X_a和从0到b-1的X_b。需要确定X＝中国余数(X_a，X_b)，即0到a.b-1的单一数字X，以致X_a≡X(mod a)和X_b≡X(mod b)。下面是中国余数参数：α≡{b(mod a)}^-1(mod a)。下面是中国余数运算：ε≡X_b(mod a)；δ＝X_a-ε；如果δ为负，用δ+a替换δ；γ≡α.δ(mod a)；X＝γ.b+X_b。

当素数按照升序，从最小的p₁到最大的p_f排列时，中国余数参数可以如下所示(存在f-1，即至少素数之一)。第一中国余数参数是α≡{p₂(mod p₁)}^-1(mod p₁)。第二中国余数参数是β≡{p₁·p₂(mod p₃)}^-1(md p₃)。第i个中国余数参数是λ≡{p₁·p₂·…，p_i-1(mod p_i)}^-1(mod p_i)，依次类推。最后，在f-1中国余数运算中，利用第一参数得到第一结果(mod p₂×p₁)，随后利用第二参数得到第二结果(mod p₁·p₂×p₃)，依次类推，直到得到结果(mod p₁…p_f-1×p_f)，即(mod n)为止。

本发明的目的是一种随机产生所有各组可能的GQ2密钥中的任意一组GQ2密钥的方法，即：

-所有可能的GQ2模数内的任意模数的随机产生，即对于m个基数g_i中的每个基数，该模数确保不能用整数模数n环中的x解答等式(1)和(2)，而可用整数模数n环中一个整数模数解答等式(3)，

-计算每个等式(3.a)的所有可能解答。中国余数方法使得能够根据每组f个分量(Q_i，1-Q_i，f)，得到专用值Q_i，从而获得所有ht可能等式内，等式(3)的任意解答x。

Q_i＝中国余数(Q_i，1，Q_i，2，…，Q_i，f)

为了了解该问题，并且随后理解将针对该问题给出的解决方案，即本发明，我们首先分析GQ2技术的原理的适用性。让我们首先从回忆伽罗瓦域CG(p)中的秩的概念开始，以便研究函数“CG(p)中自乘到平方”和“CG(p)中二次剩余的开平方”。随后，我们将分析关于等式(1.a)，(2.a)和(3.a)，CG(p)中解答x的存在及数目。

CG(p)中元素的秩

取一个奇素数p和小于p的一个正素数。之后，定义{X}。

{X}≡{x₁＝a；则对于i≥1，x_i+1≡a.x_i(mod p)

计算下标为i+p的项，并使用Fermat定理：

x_i+p≡a^px_i≡a.x_i≡x_i+1(mod p)

因此，序列{X}的周期为p-1或者p-1的除数。该周期取决于a的值。根据定义，该周期被称为“a(mod p)的秩”。它是序列{X}中1的出现下标。

x_rank(a，p)≡1(mod p)

例如，当(p-1)/2是奇素数p’时，伽罗瓦域CG(p)包含秩为1的单个元素：(p-1)/2为1，秩为2的单个元素。(p-1)/2为-1，秩为p’的p’-1个元素，秩为2.p’的p’-1个元素，即秩为p-1。

CG(p)的秩为p-1的元素被称为基本元素，或者也被称为CG(p)发生器。该名称缘于CG(p)中它们的连续乘幂，即{X}序列中的下标从1～p-1的项构成CG(p)的所有非零元素的排列。

根据CG(p)的基本元素y，我们来求作为i和p-1的函数的元素yⁱ(mod p)的秩。当i是具有p-1的素数时，秩为p-1。当i除以p-1时，秩为(p-1)/i。在所有情况下，秩为(p-1)/pgcd(p-1，i)。

用φ表示Euler函数。根据定义，由于n是正整数，因此φ(n)是小于n的正整数(包括n在内的素数)的数目。于是，在域CG(p)中，存在φ(p-1)个基本元素。

举例来说，下面是RSA技术的基础。公共模数n是从p₁～p_f(f≥2)的f个素数的乘积，从而对于每个素数p_j来说，公共指数v是包括p_j-1在内的一个素数。密钥<v，p_j>遵守CG(p_j)的元素的秩：密钥<V，p_j>排列CG(p_j)的元素。利用密钥<s_j，p_j>，获得反向排列，从而p_j-1除以v.s_j-1。

CG(p)中的平方和平方根

在CG(p)中，元素x和p-x具有相同的平方。由于p-1是个偶数值，因此密钥<2，p>不排列CG(p)的元素。对于每个素数p，我们如下定义一个整数t：p-1可被2^t除尽，但是不可被2^t+1除尽，即p全等于2^t+1(mod 2^t+1)。例如，当p全等于3(mod 4)时，t＝1；当p全等于5(mod 8)时，t＝2；当p全等于9(mod 16)时，t＝3；当p全等于17(mod 32)时，t＝4；依次类开。在一个范畴内，并且只在一个范畴内找到各个奇素数：在第t个范畴内找到p。实际上，如果我们考虑相当大量的连续素数，每2个中约有1个可在第一范畴内找到，每4个中有1个可在第二范畴内找到，每8个中有1个可在第三范畴内找到，每16个中有1个可在第四范畴内找到，依次类推。总之，平均来说，每2^t个中有1个可在第t范畴内找到。

下面让我们根据变元的秩的奇偶性，来考虑函数“CG(p)中自乘到平方”的行为。

-只存在一个固定元素：该元素为1。奇校验秩的任意其它元素的平方是具有相同秩的另一元素。从而，密钥<2，p>排列其所有(p-1)/2^t奇校验秩元素。排列循环的数目取决于(p-1)/2^t的因数分解。例如，当(p-1)/2^t是素数p’时，存在包含p’-1个元素的大排列循环。

-任意偶校验秩元素的平方是其秩被除以2的另一元素。从而，偶校验秩元素被分配在(p-1)/2^t个分支上。具有奇校验秩的每个非零元素支承长度为t的包含2^t-1个元素的分支，即：秩可被2除尽，但是不可被4除尽的一个元素，随后，如果t≥2，则秩可被4除尽，但是不可被8除尽的两个元素，如果t≥3，则秩可被8除尽，但是不可被16除尽的四个元素，如果t≥4，则秩可被16除尽，但是不可被32除尽的八个元素，依次类推。每个分支的2^t-1个末端是非二次剩余；它们的秩可被2^t除尽。

图1A-1D借助有向图，图解说明了函数“CG(p)中自乘到平方”，这里域的p-1个非零元素中的每个元素找到其自己的位置：非二次剩余为白色，二次剩余为黑色；在二次剩余内，奇校验秩元素在圆圈内。

这些图分别表示了：

-图1A：p全等于3(mod 4)的情况；

-图1B：p全等于5(mod 8)的情况；

-图1C：p全等于9(mod 16)的情况；

-图1D：p全等于17(mod 32)的情况。

现在我们来考虑计算等式x²≡a(mod p)的解答x的方法(已知a是CG(p)的二次剩余)，即如何“在CG(p)中开平方”。当然，存在获得相同结果的多种途径：读者可参考Henri Cohen的“A Course inComputational Algebraic Number Theory”，Springer，Berlin，1993年出版，第31-36页，以及“Graduate Texts in Mathematics”，vol.138(GTM 138)。

我们来计算整数s＝(p-1+2^t)/2^t+1，以确定密钥<s，p>。假定：当p全等于3(mod 4)时，<(p+1)/4，p>，当p全等于5(mod 8)时，<(p+3)/8，p>，当p全等于9(mod 16)时，<(p+7)/16，p>，当p全等于17(mod 32)时，<(p+15)/32，p>，依次类推。

-密钥<s，p>给出任何奇校验秩元素的奇校验秩平方根。实际上，在CG(p)中，r²/a等于a自乘到(2.(p-1+2^t)/2^t+1)-1＝(p-1)/2^t次幂。从而，当a处于循环中时，密钥<s，p>把a转换为我们将称之为w的解答。另一解答是p-w。

-通常，密钥<s，p>把任意二次剩余a转换为将被称为r的解答的一级近似。下面是逐步改进近似，直到a的平方根为止的示意方法之前的两个关键点。

-首先，由于a是二次剩余，密钥<2^t-1，p>确实把r²/a转换为1。

-其次，可假定我们知道我们命名为y的CG(p)的非二次剩余；密钥<(p-1)/2^t，p>把y转换为将被称为b的元素：它是-1的第2^t-1个根。实际上，y^(p-1)/2≡-1(mod p)。从而，在CG(p)中，1的第2^t2^t次根的乘法组与指数为1～2^t的b的乘幂的乘法组具有同一构造。

-为了逼近a的平方根，我们使r²/a自乘到2^t-2(mod p)次幂：结果为+1或-1。如果结果为+1，则保持新的近似值，如果结果为-1，则近似值变为b.r(mod p)。从而，密钥<2^t-2，p>必定把新的近似值转换为1。可以继续逼近所需的数值：在下一步骤，如果需要的话，通过乘以b²(mod p)，可进行调整，依次类推。

下面的算法根据如上定义的整数r和b，进行逐步逼近，以便达到a的平方根；它使用两个整数变量：由r初始化的w，以表示逐步逼近，及假定从2～2^t-2的2的乘幂之中的数值的jj。

对于从1～t-2的i，重复下述程序：

-计算w²/a(mod p)，随后使结果自乘到2^t-i-1(mod p)次幂：应得到+1或-1。当得到-1时，计算jj＝2ⁱ，随后用w.b^jj(mod p)替换w。当得到+1时，不进行任何操作。

在计算的结尾，w和p-w是CG(p)中，a的两个平方根。此外，我们认识到在CG(p)中，a的秩可被2^t/jj除尽，但是不可被2^t+1/jj除尽。下面将进一步领会这种观测结果的相关性。

CG(p)中，GQ2技术原理的分析

我们取大于1的两个整数g和k，以及大于g的一个素数p。我们来分析在CG(p)中，等式(1.a)，(2.a)和(3.a)中的解答的存在和数目。

在伽罗瓦域CG(p)中，我们根据t的数值，即除尽p-1的2的乘幂，来区别不同的情况。可回想起p-1可被2^t除尽，但是不可被2^t+1除尽，即，p全等于2^t+1(mod 2^t+1)。前面的分析给了我们对于引起的问题及大致解决方案的相当精确的了解。

当t＝1时，p全等于3(mod 4)。g和-g相对于p的Legendre符号不同：CG(p)的任意二次剩余具有CG(p)中的两个平方根：一个是二次剩余，另一个是非二次剩余。首先，在CG(p)中，两个等式(1.a)或(2.a)之一具有x的两个解答，而另一等式不具有任何解答。其次，无论任何k值，在CG(p)中，等式(3.a)都具有x的两个解答。

当t＝2时，p全等于5(mod 8)。根据g相对于p的Legendre的符号，产生两种情况。当符号等于-1时，g和-g都是CG(p)的非二次剩余：在CG(p)中，三个等式(1.a)，(2.a)和(3.a)都不具有x的任何解答。当符号等于+1时，g和-g是CG(p)的两个二次剩余，等式(1.a)和(2.a)均具有x的2个解答。此外，CG(p)中，g²的秩为奇校验值，意味着不论什么样的k值，在CG(p)中，等式(3.a)都具有x的4个解答，其中只有一个具有奇校验秩。

图2图解说明了假定t＝2，在k＝6，p全等于5(mod 8)的情况下，等式(3.a)的解答。要指出的是，由于相对于p全等于5(mod 8)，2的Legendre符号等于-1。则2^(p-1)/4(mod p)为-1的平方根。于是，我们得到：

p≡5(mod8)；因此(2｜p)＝-1

从而，b²≡-1(modp)

当t＝3时，p全等于9(mod 16)。我们来考虑g相对于p的Legendre符号。当该符号等于-1时，g和-g是CG(p)中的两个非二次剩余：在CG(p)中，三个等式(1.a)，(2.a)和(3.a)都不具有x的任何解答。当符号等于+1时，g和-g是CG(p)的两个二次剩余，在CG(p)中，等式(1.a)和(2.a)均具有x的2个解答。等式(3.a)的x解答的存在取决于CG(p)中g²的秩。该秩为奇校验值或者可被2除尽，但是不可被4除尽。当CG(p)中，g²的秩可被2除尽，但是不可被4除尽时，对于k＝2，在CG(p)中，等式(3.a)具有x的4个解答；它不能超过k≥3。当CG(p)中，g²的秩为奇校验值时，对于k＝2，在CG(p)中，等式(3.a)具有x的4个解答，对于k≥3，在CG(p)中，等式(3.a)具有x的8个解答。在两种情况下，只有一个值是奇校验值。

当t＝4时，p全等于17(mod 32)。我们来考虑g相对于p的Legendre符号。当该符号等于-1时，g和-g是CG(p)的两个非二次剩余：在CG(p)中，三个等式(1.a)，(2.a)和(3.a)都不具有x的任何解答。当符号等于+1时，g和-g是CG(p)的两个二次剩余，在CG(p)中，等式(1.a)和(2.a)均具有x的2个解答。等式(3.a)的x解答的存在取决于CG(p)中g²的秩。该秩为奇校验值或者可被2或4除尽，但是不可被8除尽。当CG(p)中，g²的秩可被2除尽，但是不可被8除尽时，对于k＝2，在CG(p)中，等式(3.a)具有x的4个解答；它不能超过k≥3。当CG(p)中，g²的秩可被2除尽，但是不可被4除尽时，对于k＝2，在CG(p)中，等式(3.a)具有x的4个解答，或者对于k＝3，在CG(p)中，等式(3.a)具有x的8个解答；对于k≥4，等式(3.a)无解。当CG(p)中，g²的秩为奇校验值时，对于k＝2，在CG(p)中，等式(3.a)具有x的4个解答，对于k≥3，在CG(p)中，等式(3.a)具有x的4个解答，对于k≥4，在CG(p)中，等式(3.a)具有x的16个解答。在所有三种情况下，只有一个值是奇校验值。

依次类推，从而可如下总结p全等于1(mod 4)的情况。

当p全等于1(mod 4)时，我们来考虑g相对于p的Legendre符号。当该符号等于-1时，g和-g是CG(p)的两个非二次剩余：在CG(p)中，三个等式(1.a)，(2.a)和(3.a)都不具有x的任何解答。当符号等于+1时，g和-g是CG(p)的两个二次剩余；在CG(p)中，等式(1.a)和(2.a)均具有x的2个解答。我们来定义一个整数u：CG(p)中，g²的秩可被2^u除尽，但是不可被2^u+1除尽。值u是从0～t-2的t-1个可能值之一。CG(p)中，等式(3.a)的x解答的存在及数目取决于k，t和u的值。当u是正数，并且k大于t-u时，在CG(p)中，等式(3.a)不具有x的解答。当u为零，并且k大于t时，在CG(p)中，等式(3.a)具有x的2^t个解答。当k小于或等于t-u时，在CG(p)中，等式(3.a)具有x的2^k个解答。

GQ2原理在整数模数环中的适用性

为了在整数模数n的环中，等式(1)和(2)均不具有x的解，其必要充分条件是，对于从p₁～p_f的至少一个素数p，等式(1.a)和(2.a)必须在CG(p)中均不具有x的解答。

为了在整数模数n的环中，等式(3)具有x的解，其必要充分条件是，对于从p₁～p_f的每个素数p，等式(3.a)在CG(p)中具有x的解答。

对于从g₁～g_m的基数g之一，等式(3)尽快地禁止全等于1(mod4)的任意素数p：或者g相对于p的Legendre符号等于-1；或者在u为正数，并且大于t-k的条件下，g相对于p的Legendre符号等于+1。为了全等于1(mod 4)的素数p成为可能，根据上面定义的两个整数，对于从g₁～g_m的每个基数g，必须达到下述两个条件之一。或者G＝g²的秩为CG(p)中的奇校验秩，即u＝0，不论k为什么值。或者G＝g²的秩为CG(p)中的偶校验秩，即u＞0，并且满足条件u+k≤t。

全等于1(mod 4)的素数的乘积不能实现所有的GQ2技术原理。每个GQ2模数必须至少具有两个全等于3(mod 4)的素数，从而对于每个基数g来说，g相对于这些素数之一的Legendre符号不同于g相对于另一素数的Legendre符号。当所有素数全等于3(mod 4)时，可认为GQ2模数是基本模数。当除了全等于3(mod 4)的至少两个素数之外，模数包括全等于1(mod 4)的一个或多个素数时，可认为模数GQ2是复合模数。

GQ2模数的***结构

开始，必须确定将限定模数n的全部约束条件：以二进制位表示的大小(例如512或1024位)，以及为1的最高有效连续位的数目(至少1个，通常16或32个二进制位)，素数的数目f，必须全等于1(mod4)的素数的数目e(可能为0)；其它素数，即f-e素数，中的至少两个，必须全等于3(mod 4)。模数n将是类似大小的f个素数的乘积。当e＝0时，得到基本模数GQ2。当e＞0时，得到复合模数GQ2。基本模数是均全等于3(mod 4)的素数的乘积。于是，复合模数GQ2表示为基本模数GQ2乘以一个或多个全等于1(mod 4)的其它素数的乘积。首先，产生全等于3(mod 4)的素数。随后，如果e＞0，产生全等于1(mod 4)的素数。

对于GQ2模数的结构的效能来说，在设法查明候选数字是否是素数之前，选择每个候选数字无疑较好。

用g₁，g₂…表示，通常在第一部分素数：2，3，5，7…中查找基数。如果没有相反的指示，m个基数是m个第一部分素数：g₁＝2，g₂＝3，g₃＝5，g₄＝7，…。但是，必须注意下述几点：如果预先使用了全等于5(mod 8)的因数，则必须避开2；如果公共密钥<3，n>必须被用作RSA公共验证密钥，则必须避开3。

全等于3(mod 4)的f-e个素数的选择

根据第二因数，对于每个因数，程序请求并使用一个基数。对于全等于3(mod 4)的最后一个因数的选择来说，程序查明是否存在其它基数，即m是否等于或大于f-e，并且如果m等于或大于f-e，则请求并考虑从g_f-e～g_m的最后几个基数。为了使全等于3(mod 4)的素数的选择形式化，我们引入廓线(profile)的概念。廓线表征了整数g相对于一组大于g，并且全等于3(mod 4)的素数的特征。

-当整数g具有和两个素数相同的Legendre符号时，一般认为相对于g，这两个素数等效。否则，相对于g，这两个素数互补。

-用Profile_f(g)表示，整数g相对于f个素数p₁ p₂…p_f的廓线是一个f个二进制位的序列，每个素数一个二进制位。第一位等于1；根据相对于g，下一因数是和p₁等效，还是和p₁互补，后面的每个二进制位等于1或0。

-当廓线的所有二进制位等于1时，一般认为该廓线平直。这种情况下，g的所有Legendre符号等于+1或者等于-1。当g的廓线不平直时，在整数模数n环中，不可关于x求解等式(1)和(2)。

-根据定义，相对于全等于3(mod 4)的单个素数，g的廓线始终是平真的。这种扩展被用于归纳选择全等于3(mod 4)的素数的算法。

当两个基数g₁和g₂的廓线不同时，这意味着全等于3(mod 4)的至少三个素数，两个专用值Q₁和Q₂导致模数n的两种不同分解。当基数是小素数时，程序确保f-e-1个基本素数的2^f-e-1乘法组合都不相同：它们取所有可能的数值。廓线概念不扩展到全等1(mod 4)的素数。

全等于3(mod 4)的第一素数p₁：每个候选值必须全等于3(mod4)，没有其它任何特殊约束条件。

当考虑第一基数g₁时，全等于3(mod 4)的第二素数p₂：相对于g₁，每个候选值必须和p₁互补。

当考虑第二基数g₂时，全等于3(mod 4)的第二素数p₃：根据相对于两个第一部分素数p₁和p₂，g₂的廓线，产生两种情况。当Profile₂(g₂)平直时，相对g₂，每个候选值必须和p₁互补。否则，我们得到Profile₂(g₁)＝Profile₂(g₂)；则每个候选值必须确保Profile₃(g₁)≠Profile₃(g₂)。

当考虑基数g_i时，全等于3(mod 4)的第i个素数p_i+1的选择：根据相对于i个第一部分素数p₁，p₂，…p_i的g_i的廓线，产生两种情况。当Profile_i(g_i)平直时，相对g_i，每个候选值必须和p₁互补。否则，在i-1个基数g₁，g₂，…g_i-1和它们的所有乘法组合g₁·g₂，g₁·g₂·…g_i-1，即总共2^i-1-1个整数之中，有且只有一个整数g使得Profile_i(g_i)＝Profile_i(g)；则每个候选值必须确保Profile_i+1(g_i)≠Profile_i+1(g)。

当考虑基数g_f-e-1，以及从g_f-e～g_m的其它基数时，全等于3(mod 4)的最后一个素数p_f-e：如上所述考虑归因于基数g_f-e-1的约束条件。此外，当m等于或大于f-e时，相对于f-e个素数，每个候选值必须提供从g_f-e～g_m的最后几个基数的非平直廓线。相对于Profile_f-e-1(g_i)平直的所有g_i值，每个候选值必须和p₁互补。

总之，全等于3(mod 4)的素数被选为相互的函数。

对于从0～f-e-1的i，选择全等于3(mod 4)的第i+1个素数，候选素数p_i+1必须成功通过下述检查：

√如果i＞m或者如果i＝0，则候选p_i+1无其它约束条件；于是接受候选p_i+1。

√如果0＜i≤m，则候选p_i+1必须考虑第i个基数g_i。相对于从p₁～p_i的i个第一部分素数，计算基数g_i的廓线Profile_i(g_i)。根据计算结果，会发生下两种情况中的一种情况，并且只会发生一种情况：

-如果廓线平直，则相对于g_i，候选p_i+1必须和p₁互补；否则，拒绝该候选p_i+1。

-如果廓线不平直，在i-1个基数g₁，g₂，…g_i-1和它们的所有乘法组合之中，有且只有一个我们称为g的数字使得Profile_i(g_i)＝Profile_i(g)；则候选p_i+1必须确保Profile_i+1(g_i)≠Profile_i+1(g)；否则，必须拒绝该候选p_i+1。

√如果i+1＝f-e，并且i＜m，即当剩余还未被考虑的从g_f-e～g_m的基数时，选择全等于3(mod 4)的最后一个素数，候选p_f-e必须把剩余的这些基数考虑进去：在这些基数中，选择其廓线Profile_f-e-1(g_i)平直的那些数字；相对于这样选择的每个基数，候选p_f-e必须与p₁互补；否则拒绝候选p_f-e。

由于候选素数已成功通过了适当的测试，接受该候选素数。

全等于1(mod 4)的e个素数的选择

为了可被接受，相对于从g₁～g_m的每个基数，全等于1(mod 4)的每个候选素数p必须满足下述条件。

-我们来计算每个基数g_i相对于p的Legendre符号。如果该符号等于-1，则拒绝该候选素数p，并转到下一候选素数。如果该符号等于+1，就继续该候选素数的评估。必须指出的是，如果整数2被用作基数，则必须除去全等于5(mod 8)的所有候选素数：基数2和全等于5(mod 8)的素数不相容。

-计算整数s＝(p-1+2^t)/2^t+1，以便确定密钥<s，p>。我们把密钥<s，p>应用于每个公共值G_i，以便得到结果r。产生两种情况。

-如果r等于g_i或-g_i，则u＝0。这种情况下，并且也只有在这种情况下，G_i处于一个环中。可提及的一种普通情况是：如果p全等于5(mod 8)，并且g_i相对于p的Legendre符号等于+1，则G_i处于环中。可回想起在这种情况下，G_i不可能等于4。

-如果r既不等于g_i，也不等于-g_i，则u＞0；必须指出的是密钥<(p-1)/2^t，p>把各个非二次剩余y转换为元素b，元素b是1的第2^t次原根。下述算法通过使用两个整数变量：由r初始化的w和取2～2^t-2的值的jj，根据r和b，计算u。

对于从1～t-2的i，重复下述程序：

-计算w²/G_i(mod p_j)，随后把结果自乘到2^t-i-1(mod p_j)次幂：我们必定得到+或-1。当得到-1时，计算jj＝2ⁱ，则用w.b^jj(mod p_j)替换w。当得到+1时，不进行任何操作。

在计算结束时，变量w的值为g_i或-g_i。此外，我们知道CG(p_j)中，G_i的秩可被2^t/jj除尽，但是不可被2^t+1/jj除尽，即，通过jj＝2^t-u，jj确定u的值。当v大于jj，即k＞t-u时，拒绝该候选素数，并转到另一候选素数。当v小于或等于jj，即k≤t-u时，继续评估该候选素数。

当已产生f个素数时，公共模数n是这f个素数p₁，p₂，…p_f的乘积。无符号的整数n可由二进制序列表示；该序列遵守程序开始时，关于二进制位的大小，以及为1的连续最高有效位的数目强加的约束条件。素数的选择提供了模数n相对于m个基数g₁，g₂，…g_m中的每个基数的下述性质。此外，在整数模数n环中，等式(1)和(2)不具有x的任何解答。其次，在整数模数n环中，等式(3)具有x的解答。

总之，相互独立地选择全等于1(mod 4)的素数。当全等于3(mod4)的因数逐渐考虑基数时，全等于1(mod 4)的每个素数必须考虑由各个基数限定的所有约束条件。从p_f-e～p_f的每个全等于1(mod 4)的素数，即p应分两步成功地通过下述检查。

1)对于从g₁～g_m的m个基数中的每个基数，连续执行步骤(1)。

计算当前基数g相对于候选素数p的Legendre符号。产生并且只产生下述两种情况之一：如果该符号等于-1，则拒绝候选素数。否则(该符号等于+1)，则在步骤(1)之后，转到基数g继续该检查。

当对于所有m个基数，该候选素数都是可接受的时，则操作转到步骤(2)。

2)对于从G₁～G_m的m个公共值中的每个值，连续执行步骤(2)。

计算整数t，从而p-1可被2^t除尽，但是不可被2^t+1除尽，则整数s＝(p-1+2^t)/2^t+1，以便确定密钥<s，p>。把密钥<s，p>应用于当前的公共值G＝g²，得到结果r，即：r≡G^s(mod p)。根据该结果，产生并且只产生下述情形之一：

a)如果r等于g或-g，则u＝0；在步骤(2)转到后面的公共值G，继续该候选素数的检查。

b)否则，取从1～t-2的值中的一个值，应用下述算法计算正数u，所述算法实现两个变量：取从2～2^t-2的值的jj，和由r初始化的w，以及通过把密钥<(p-1)/2^t，p>应用于CG(p)的非二次剩余得到的整数b。

对于从1～t-2的上标ii，重复下述操作：

计算w²/G(mod p)，随后把密钥<2^t-ii-1，p>应用于计算结果，得到+1或-1(否则，证明该候选因数不是素数)。如果得到-1，则计算jj＝2ⁱⁱ，随后c≡b^jj(mod p)，随后用w.c(mod p)替换w，则转到下一上标ii。如果得到+1，则转到下一上标ii。

在算法结束时，依据关系jj＝2^t-u确定变量jj中的值；变量w的值是G的平方根，即g或-g(否则，证明该候选因数不是素数)。产生两种情况：

■如果t-u＜k，则由于出现G的支路的长度不够，拒绝候选素数p。

■如果(t-u≥k)，则在步骤(2)之后转到下一公共值G，继续候选素数的评估。

当对于所有m个公共值来说，候选素数合格时，把该候选因数看作全等于1(mod 4)的素数。

Claims

1.在借助所有或部分下述参数或它们的衍生物：

-公共指数v；

-m个相异的整数基数g₁，g₂…g_m(m大于或等于1)

向控制者实体证实下述内容的方法中：

-实体的真实性和/或

-与该实体相关的消息M的完整性；

x²≡g_imodn 和 x²≡-g_imodn

并且以致能够在整数模数n环中，求解下述等式(3)的x：

x^{v} &equiv; g_{i}^{2} \mod n

根据本发明的方法使得能够以满足等式(1)，(2)和(3)的方式，产生f个素数p₁，p₂，…p_f，所述方法包括首先选择下述内容的步骤：

·m个基数g₁，g₂…g_m，

·模数n的大小，

·f个素数p₁，p₂，…p_f的大小。

2.按照权利要求1所述的方法，其特征在于当公共指数v具有下述形式时：

v＝2^k

这里，k是大于1的安全参数，安全参数k也被选择为素数。

3.按照权利要求1或2所述的方法，其特征在于至少部分地在第一部分整数内选择m个基数g₁，g₂，…g_m。

4.按照权利要求2或3所述的方法，其特征在于安全参数k是一个小整数，尤其是小于100的整数。

5.按照权利要求1-4之一所述的方法，其特征在于模数n的大小大于几百个二进制位。

6.按照权利要求1-5之一所述的方法，其特征在于f个素数p₁，p₂，…p_f的大小接近于被除以素数数目f的模数n的大小。

7.按照权利要求1-6之一所述的方法，其特征在于在f个素数p₁，p₂，…p_f内，

-选择全等于1(mod4)的e个素数，e可能为0(如果e为0，则下面将把模数n称为基本模数，如果e＞0，下面将把模数n称为复合模数)，

-其它f-e个素数被选择为全等于3(mod4)，f-e至少等于2。

8.按照权利要求7所述的方法，其特征在于为了产生全等于3(mod4)的f-e个素数p₁，p₂，…p_f-e，

执行下述步骤：

-选择全等于3(mod4)的第一素数p₁，随后

-选择第二素数p₂，以致相对于基数g₁，p₂与p₁互补，

-执行下述程序，区分两种情况，选择素数p_i+1：

(1)i＞m的情况

-选择全等于3(mod 4)的素数p_i+1。

(2)i≤m的情况

-计算g_i相对于i个第一部分素数p_i的廓线(Profile_i(g_i))：

-如果Profile_i(g_i)平直，则选择该素数p_i+1，使得相对于g_i，p_i+1和p₁互补，

-否则，在i-1个基数g₁，g₂，…g_i-1和它们的全部乘法组合中，选择下面称为g的数字，使得Profile_i(g)＝Profile_i(g_i)，并且随后选择p_i+1，使得Profile_i+1(g_i)≠Profile_i+1(g)。

(术语“互补”，“廓线”，“平直廓线”具有在说明部分中定义的含义)。

9.按照权利要求8所述的方法，其特征在于为了选择最后的素数p_f-e，使用下述程序区分三种情况：

(1)f-e-1＞m的情况

·选择全等于3(mod4)的p_f-e，

(2)f-e-1＝m的情况

·相对于从p₁～p_f-e-1的f-e-1个第一部分素数，计算Profile_f-e-1(g_m)，

··如果Profile_f-e-1(g_m)平直，则选择p_f-e-1，使得相对于g_m，p_f-e-1和p₁互补，

··否则：

···在从g₁～g_m-1的m-1个基数及它们的全部乘法组合中，选择下面称为g的数字，使得Profile_i(g)＝Profile_i(g_i)，

···随后选择p_f-e，使得Profile_f-e(g_i)≠Profile_f-e(g_m)，

(3)f-e-1＜m的情况

·选择p_f-e，以便满足下述两个条件：

(3.1)第一条件

·根据从p₁～p_f-e-1的f-e-1个第一部分素数，计算Profile_f-e-1(g_f-e-1)。

··如果Profile_f-e-1(g_f-e-1)平直，则选择p_f-e，使得p_f-e满足相对于g_f-e-1，p_f-e和p₁互补的第一条件，

··否则，

···在从g₁～g_m-1的f-e-1个基数及它们的全部乘法组合之内，选择下面称为g的数字，使得Profile_i(g)＝Profile_f-e-1(g_f-e-1)，

···随后选择p_f-e，使得它满足使Profile_f-e(g)≠Profile_f-e(g_m)的第一条件，

(3.2)第二条件

·在从g_f-e～g_m的所有最后一些基数之内，选择其廓线Profile_f-e-1(g_i)平直的那些基数，随后

·选择p_f-e，以致p_f-e满足相对于这样选择的每个基数，p_f-e和p₁互补的第二条件。

10.按照权利要求8或9所述的方法，其特征在于为了产生全等于1(mod4)的e个素数，在进行下述两个连续测试的情况下，评估从p_f-e～p_f的每个候选素数p：

(1)第一测试

-计算从g₁-g_m的每个基数相对于候选素数p的Legendre符号，

·如果Legendre符号等于-1，则拒绝候选素数p，

·如果Legendre符号等于+1，则转到下一基数，继续候选素数p的评估，并且随后当已考虑了最后一个基数时，转到第二测试，

(2)第二测试

-计算整数t，使得p-1可被2^t除尽，但是不可被2^t+1除尽，随后

-计算整数s，使得s＝(p-1+2^t)/2^t+1，

-把密钥<s，p>应用于每个公共值G_i，以便得到结果r

r &equiv; G_{i}^{s} \mod p

·如果r等于g_i或-g_i，则转到下一公共值G_i+1，继续第二测试，

·如果r不等于g_i或-g_i，则应用下述算法，计算因数u：

··该算法由关于从1～t-2的上标ii规定的下述程序列的多次重复组成：

··该算法实现两个变量：由r初始化的w和取从2～2^t-2的值的jj＝2ⁱⁱ，以及通过把密钥<(p-1)/2^t，p>应用于CG(p)的非二次剩余，得到的数字b，随后重复下述步骤1和2：

···步骤1：计算w²/G_i(mod p)，

···步骤2：使计算结果自乘到2^t-ii-1次幂，

····如果得到+1，则转到下一公共值G_i+1，继续第二测试，

····如果得到-1，则计算jj=2ⁱⁱ，用w.b^jj(mod p)替换w，随后对具有上标ii的下一数值，继续该算法，

··在算法结束时，依据关系jj=2^t-u，变量jj的值被用于计算整数u，随后计算表达式t-u，出现两种情况：

···如果t-u＜k，则拒绝候选素数p，

···如果t-u＞k，继续候选素数p的评估，并且随后继续第二测试，并转到下一公共值G_i+1，如果在第二测试结束时，对于所有m个公共值G_i，该候选素数p都未被拒绝，则候选素数p被看作是全等于1(mod 4)的素数。

11.应用按照权利要求1-10任一所述的方法，使得能够产生f个素数p₁，p₂，…p_f的一种方法，该方法用于借助所有或部分下述参数或者这些参数的衍生物：

-公共指数v；

向控制者实体证明下述内容：

-实体的真实性和/或

-与该实体相关的消息M的完整性，

所述模数，所述指数和所述值由下述类型的关系连接：

G_{i} \cdot G_{i}^{v} &equiv; 1 \cdot \mod n

或者

G_{i} &equiv; Q_{i}^{v} \mod n

所述指数为v=2^k

其中k是大于1的安全参数，

所述公共值G_i是小于f个素数p₁，p₂，…p_f的基数g_i的平方g_i ²，基数g_i是这样的基数，以致不能在整数模数n环中，求解下述两个等式的x：

x²≡g_imodn 和 x²≡-g_imodn

并且以致能够在整数模数n环中，求解下述等式的x：

x^{v} &equiv; g_{i}^{2} \mod n

所述方法按照下述步骤实现称为证人的实体，所述证人实体具有f个素数p_i和/或素数的中国余数参数，和/或公共模数n和/或m个专用值Q_i和/或专用值Q_i的f.m分量(Q_i，j≡Q_i mod p_j)的参数，以及公共指数v的参数；

-证人计算整数模数n环中的承诺(commitment)R；每个承诺如下计算：

·通过执行下述类型的运算，

R≡r^v mod n

这里r是大于0，小于n的随机因数，

·或者

··通过执行下述类型的运算：

R_{i} &equiv; r_{i}^{v} \mod p_{i}

这里r_i是与素数p_i相关的随机值，并且0＜r_i＜p_i，每个r_i属于一个随机因数集合{r₁，r₂，…r_f}，

··随后通过应用中国余数方法，计算每个承诺；

-证人接收一个或多个挑战d。每个挑战d包含下面称为基本挑战的m个整数d_i。根据每个挑战d，证人如下计算响应D：

·通过执行下述类型的运算，

D &equiv; r \cdot Q_{1}^{d 1} \cdot Q_{2}^{d 2} \cdot \cdot \cdot \cdot Q_{m}^{dm} \mod n

·或者

··通过执行下述类型的运算：

D_{i} &equiv; r_{i} \cdot Q_{i, 1}^{d 1} \cdot Q_{i, 2}^{d 2} \cdot \cdot \cdot \cdot Q_{i, m}^{dm} \mod p_{i}

··并且随后应用中国余数方法，计算响应D；

所述方法使得存在和挑战d及承诺R同样多的响应D，每组数字R，d，D构成表示为{R，d，D}的三元组。

12.按照权利要求11所述的方法，其特征在于为了实现如上所述的多对专用值Q₁，Q₂，…Q_m和公共值G₁，G₂，…G_m，所述方法使用素数p₁，p₂，…p_f和/或中国余数参数，基数g₁，g₂，…g_m和/或公共值G₁，G₂，…G_m：

-或者通过求G_i的第k个平方根模数n，或者通过取G_i的第k个平方根模数n的倒数，计算专用值Q₁，Q₂，…Q_m，

-或者计算专用值Q₁，Q₂，…Q_m的f.m专用分量Q_i，j，使得Q_i，j≡Q_i(mod p_j)。

13.按照权利要求12所述的方法，其特征在于为了计算专用值Q₁，Q₂，…Q_m的f.m专用分量Q_i，j：

-应用密钥<s，p_j>计算z，使得：

z &equiv; G_{i}^{s} (\mod p_{j})

-并且使用t和u值。

-当p_j全等于1(mod 4)时，如前所述计算t和u值，并且

·当p_j全等于3(mod 4)时，t和u的值分别取为1和0(t=1，u=0)，

··如果u值为0，则认为所有的数字zz为：

···zz等于z，或者

··zz等于z与1的2^ii-t2ⁱⁱ次原根中的每个原根的乘积(mod p_j)，ii从1变化到min(k，t)，

··如果u为正数，则认为所有的数字zz等于za与1的2^k 2^k次根中的每个根的乘积(mod p_j)，za表示在权利要求10中实现的算法结束时，变量w的值，

-据此推导出分量Q_i，j的至少一个值，当使用等式

时，该值等于zz，否则，当使用等式

时，该值等于zz的zz(modp_j)的倒数。