CN1910851B - 零知识检验加密方法与设备 - Google Patents

Abstract

本发明涉及一种加密方法，其涉及具有m≥1数量的私有密钥Q₁，Q₂，...，Q_m以及各自的公共密钥G₁，G₂，...G_m的密钥持有方，每对密钥(Q_i，G_i)(其中i＝1，...，m)满足关系式G_i＝Q_i ^vmodn或者关系式G_i×Q_i ^v＝1modn，其中n为等于f(其中f＞1)个私有素因子p₁，...，p_f的乘积的公共整数，该f个私有素因子中的至少两个是有区别的，并且指数v为等于2的幂的公共整数。其中，本发明教导了可以被赋予公共密钥的数学结构，以使之不可能在合理的时间内根据所述公共参数计算所述私有密钥，除非知道所述素因子。本发明还涉及适于执行该方法的各种设备。

Description

零知识检验加密方法与设备

技术领域

本发明涉及非对称密钥加密法(asymmetrical key cryptography)，也称为公共密钥加密法。更确切地说，本发明涉及一种验证已知实体或来自已知实体的消息的真实性、或者对消息进行签名的方法与***。

背景技术

非对称密钥加密***使用成对密钥，每对密钥包含公共密钥与私有密钥，并且每个密钥可以包括多个参数。每个公共密钥通过鉴定权威方(certificationauthority)与其持有方的身份相联系。非对称密钥加密***包括称为控制方的实体，该控制方存储与密钥持有方已证明身份相结合的多个公共密钥。

自从发明RSA非对称密钥加密方法以来，因子分解整数的问题一直是研究的重点问题(参见M.Gardner的文章“A new kind of cipher that would takemillions of years to break”，Scientific American，August 1977)。该算法的名称RSA来自于其发明人R.Rivest、A.Shamir、和L.Adleman的首写字母。尽管有了长足的进步(更多地是计算能力增长的结果，而非因子分解算法进步的结果)，但是仍然没有在合理的时间内因子分解大整数的已知方法。因此，用户有理由信任RSA方法。

RSA方法的每种应用都与称为模数的整数n有关，该整数n为两个有区别的大素因子p₁与p₂的乘积。考虑到目前的计算能力，推荐使用至少1024比特的模数(大约10³⁰⁸)。RSA公共密钥包括模数n、以及与(p₁-1)和(p₂-1)互质的指数e。对应的RSA私有密钥包括指数d，使得(符号“mod”表示求模)

e×d＝1mod[(p₁-1)(p₂-1)]

该方法的安全性依赖于以下事实：如果不知道因子p₁与p₂，则在合理的时间内，不可能从n与e计算d。如上所述，在合理的时间内，不可能计算这些因子(自然保密了这些因子)。

用于实体鉴别的加密过程使用控制方与密钥持有方，该密钥持有方以下被称为请求方，其希望被控制方鉴别，以接收授权，例如对于访问电子数据处理资源的授权。请求方向控制方表明身份，并且必须向控制方证明请求方持有对应于与该身份相联系的公共密钥的私有密钥。

可能在请求方根本不向控制方披露关于请求方的私有密钥的任何信息的情况下实现该鉴别：该技术称为zero-knowledge proof(零知识检验)鉴别，并且S.Goldwasser、S.Micali、和C.Rackoff在其向17^th ACM Symposium on theTheory of Computing(Proceedings，291 to 304，1985)提交的论文″TheKnowledge Complexity of Interactive ProofSystems″中概括地对其进行了描述。

在论文″Zero-knowledge Proofs of Identity″(Journal of Cryptology，vol.1，pages 77 to 94，1988)中，U.Feige、A.Fiat、和A.Shamir提出了零知识检验加密方法，其中请求方持有私有密钥Q，并且公布RSA模数n与公共密钥G＝Q² mod n(除非知道n的素因子，否则在合理的时间内不可能从G计算Q，即计算模n平方根)。

当上述方法用于鉴别实体时，Fiat-Shamir过程包含以下交互步骤：

1、证明步骤：请求方随机地选择整数r，计算“证明”R＝r² mod n，并且将该证明发送到控制方；

2、质疑步骤：控制方随机地选择称为“质疑”的整数d，其可以为值1或0，并且将“质疑”发送到请求方；

3、响应步骤：请求方计算响应D＝r×Q^d mod n，并且将该响应发送到控制方；以及

4、验证步骤：控制方计算

并且验证结果等于证明R。

为了提高安全性，推荐：在认为已经进行了鉴别之前，应该“顺序地”重复该过程尽可能多的次数(每次都改变r与d)。

这是零知识检验过程，原因在于观察方不能从所交换的数据计算请求方的私有密钥Q。

在Feige-Fiat-Shamir或者平行变体中，请求方持有m＞1个私有密钥Q₁，Q₂，...，Q_m，并且除了RSA模数n之外，还公布各个公共密钥G₁，G₂，...，G_m，其中对于i＝1，...，m，然后执行以下步骤：

1、证明步骤：请求方随机地选择整数r，计算证明R＝r² mod n，并且将该证明发送到控制方；

2、质疑步骤：控制方随机地选择m个质疑d₁，d₂，...，d_m，其中对于i＝1，...，m，d_i等于1或0，并且将该质疑发送到请求方；

3、响应步骤：请求方计算响应

并且将该响应发送到控制方；以及

4、验证步骤：控制方计算

并且验证结果等于证明R。

与上述顺序(即串行)变体相比，该平行变体加速了Fiat-Shamir真实性过程。

还请注意：如果请求方使用数论方面的专家公知的中国剩余理论(Chinese Remainder Theorem)，则可以减少实现这些变体中的任一个所需的计算。请求方可以以下方式进行。

首先考虑证明R的计算。对于模数n＝p₁×p₂，其中p₁＜p₂，使数C(称为孙子余数)为小于p₁的正数，使得p₁为(p₂×C-1)的因子。请求方随机地选择两个整数r₁与r₂，使得0＜r₁＜p₁且0＜r₂＜p₂，并且计算两个证明分量与

如下地从其导出证明的值，其中z＝C×(R₁-R₂)：

R＝z×p₂+R₂。

为了计算响应D，请求方可以如下进行。对于i＝1，...，m，定义私有密钥分量Q_i，1＝Q_i mod p₁与Q_i，2＝Q_i mod p₂。请求方首先计算两个响应分量：

$D_1=r_1\×{Q_{\mathrm{1,1}}}^{d_1}\×{Q_{\mathrm{2,1}}}^{d_2}\×...\×{Q_{m,1}}^{d_m}\mathrm{mod}{p}_1,$ 与

$D_2=r_2\×{Q_{\mathrm{1,2}}}^{d_1}\×{Q_{\mathrm{2,2}}}^{d_2}\×...\×{Q_{m,2}}^{d_m}\mathrm{mod}{p}_2.$

然后请求方如下获得响应的值，其中z＝C×(D₁-D₂)：

D＝z×p₂+D₂

该孙子余数计算方法的优点在于：在p₁与p₂普遍远小于n的条件下，请求方进行模p₁与模p₂计算，而不是模n计算。

可以容易地将Fiat-Shamir实体鉴别过程变换为控制方验证其接收到的消息M由特定密钥持有方(这里也称为请求方)发送。该消息鉴别过程包含以下交互步骤：

1、证明步骤：请求方随机地选择整数r，首先计算证明R＝r² mod n，然后计算权标T＝h(M，R)，其中h为hashing(哈希)函数(例如在ISO/IEC标准10118-3中定义的函数之一)，最后将权标T发送到控制方；

2、质疑步骤：控制方随机地选择质疑d，其可以为值1或0，并且将质疑发送到请求方；

3、响应步骤：请求方计算响应D＝r×Q^d mod n，并且将响应发送到控制方；以及

4、验证步骤：控制方计算并且验证结果等于权标T。

最后，可以将Fiat-Shamir实体鉴别过程变换为定义由称为签名方的密钥持有方对发送到控制方的消息M进行签名的过程；请注意：签名过程本身不是交互的。签名方持有多个私有密钥Q₁，Q₂，...，Q_m，其中m大于1，并且除了RSA模数n之外，还公布各个公共密钥G₁，G₂，...，G_m，其中对于i＝1，...，m，该签名过程包含以下步骤(用类推的方法给出与以上相同的名称)：

1、证明步骤：签名方随机地选择m个整数r_i，其中i＝1，...，m，首先计算证明然后计算权标T＝h(M，R₁，R₂，...，R_m)，其中h为产生m个比特的字的哈希函数，最后将权标T发送到控制方；

2、质疑步骤：控制方识别权标T的比特d₁，d₂，...，d_m；

3、响应步骤：签名方计算响应并且将响应发送到控制方；以及

4、验证步骤：控制方计算

$h(M,\left(\frac{{D_1}^2}{{G_1}^{d_1}}\right)\mathrm{mod}n,\left(\frac{{D_2}^2}{{G_2}^{d_2}}\right)\mathrm{mod}n,...,\left(\frac{{D_m}^2}{{G_m}^{d_m}}\right)\mathrm{mod}n),$

并且验证结果等于权标T。

现在更详细地考虑Fiat-Shamir方法的安全性。例如，在上述实体鉴别过程的情况下，会出现以下问题：冒充者(即，知道RSA模数n以及公共密钥G、但是不知道其假装是的实体的私有密钥Q的实体)是否可能欺骗控制方？

首先请注意：质疑尽管是随机的，但是只能有两个值：如果冒充者正确地猜测出在鉴别过程期间控制方扔下的质疑的值(由此具有50％的成功机会)，其是否能满足Fiat-Shamir方法的所有步骤而不会被控制方发现？对这一问题的答案是肯定的。实际上：

·如果冒充者猜测质疑为d＝0，则其向控制方提供证明R＝r² mod n以及响应D＝r；以及

·如果冒充者猜测质疑为d＝1，则其选择任意整数l＞0，并且向控制方提供证明R＝l²×G mod n以及响应D＝l×G mod n。

因此，如果顺序重复Fiat-Shamir过程以使冒充者对质疑的一系列正确估计尽可能地不可能，则该过程具有弱点，尽管如上所述其效果可以被削弱。因而可以断定：为了使该鉴别过程足够安全，必须大大增加其持续时间。

国际申请WO-00/45550公开了一种适用于实体鉴别过程、消息鉴别过程、以及消息签名过程的加密方法，其没有该缺点。在该方法中，请求方不仅公布RSA模数n与公共密钥G，而且还公布整数(称为指数)v＝2^k，其中k(称为安全参数)为大于1的整数。另外，如果Q为请求方的私有密钥，则：

G＝Q^v mod n    (1)

申请WO-00/45550的鉴别过程包含以下步骤：

1、证明步骤：请求方随机地选择整数r，计算证明R＝r^v mod n，并且将该证明发送到控制方；

2、质疑步骤：控制方随机地选择称为质疑的整数d，其中0≤d≤2^k-1-1，并且将该质疑发送到请求方；

3、响应步骤：请求方计算响应D＝r×Q^d mod n，并且将该响应发送到控制方；以及

4、验证步骤：控制方计算并且验证结果等于证明R。

由此，在该过程中，质疑可以取2^k-1个不同值(与Fiat-Shamir方法中只有两个值相对)，对于以上一系列步骤的单次执行，随着值k增加，其使冒充者对质疑的正确估计愈加不可能。

既然是这种情况，为了提高加安全性，当然可以顺序地重复该过程s次和/或并行地使用m对密钥，如上所述；那么，将中国剩余理论用于计算是有利的。在实践中，因为黑客破解签名情况下的代码比破解鉴别情况下的代码需要更多时间，所以推荐乘积[(k-1)×m×s]在鉴别情况下具有至少等于40的值，并且在签名情况下具有至少等于80的值。

另外，根据申请WO-00/45550，公共密钥需要满足以下关系，其中g为大于1的小整数(称为基数)：

G＝g² mod n    (2)

结合以上等式(1)与(2)，示出了：对于给定的n与v，必须找到满足以下等式的对(g，Q)：

Q^v＝g² mod n    (3)

可以看出，只有知道模数的因子的人(即密钥持有方)，才能在合理的时间内求解等式(3)。换言之，从相应的公开参数来计算满足申请WO-00/45550的密钥对与因子分解数n一样复杂；这两项任务被称为是在复杂度方面相等同，并且暗含此种等同的密钥集满足等同标准(equivalence criterion)。

这种情况的第一个优点是：存在安全性的参照水平(即，因子分解问题)。第二个优点是：根据申请WO-00/45550，密钥持有方不需要具有鉴定权威方证明的公共密钥，即不需要从该权威方获得将该公共密钥与其持有方的身份相联系的鉴定；只需要证明RSA模数n，其中其他参数由持有方直接公布。相反，在Fiat-Shamir方法中，例如，不同实体可能从相同的RSA模数构造其自身的密钥对(因此，Fiat-Shamir对不满足以上定义的等同标准)，并且因此每个特定的公共密钥必须通过鉴定权威方与其持有方的身份相联系。

然而示出了：仅仅对于某些特定的模数n(占所有RSA模数的大约四分之一)，存在等式(3)的解。这对于寻求根据申请WO-00/45550产生密钥对的实体是成问题的：如果该实体已经具有RSA模数的集合，则一般其可以只使用其中的某些来构造密钥；但是如果其还没有任何RSA模数，则与所有(或者几乎所有)RSA模数都与该方法兼容的情况相比，其会发现找到足够的模数更加困难。

发明内容

由此，本发明的第一方面涉及一种非对称密钥加密方法，其涉及密钥持有方，具有m≥1个私有密钥Q₁，Q₂，...，Q_m以及各自的公共密钥G₁，G₂，...，G_m，每对密钥(Q_i，G_i)(其中i＝1，...，m)满足关系

或者关系

其中n为等于f个(其中f＞1)私有素因子p₁，...，p_f的乘积的公共整数，该f个私有素因子中至少有两个是有区别的，并且指数v为等于2的幂的公共整数。该方法特征在于：

v＝2^b+k，

其中，k为严格正整数，且b＝max(b₁，...，b_f)，其中b_j(其中j＝1，...，f)为使得

为偶数的最大整数，每个公共密钥G_i(其中i＝1，...m)具有以下形式：

$G_i={g_i}^{2^{a_i}}\mathrm{mod}n,$

其中基数g_i为严格大于1的整数，并且数a_i为使得1≤a_i≤b的整数，并且数a_i中的至少一个严格大于1。

请注意：本发明与申请WO-00/45550的具体区别在于：每个公共密钥具有以下形式：其中数a_i中的至少一个严格大于1；而不是具有的形式。

如以下给出的详细描述所示，通过这些规定，不管为模数n选择的值为何且除了非常少见的例外之外(这些特定模数实际上从不会被选择来执行RSA方法)，根据本发明的密钥(即，满足以上简述的条件的密钥对(g，Q))必然存在。换言之，根据本发明的方法与任何RSA模数都兼容。

根据本发明的特定特征，所述素因子p₁，...，p_f中的至少一个和1对模4来说是同余的，并且整数a_i(其中i＝1，...，m)都等于所述数b。

这会极大地促进根据本发明的密钥集的构造。

根据本发明的另一特定特征，所述基数g₁，...，g_m包含至少一个数g_s，并且所述素因子p₁，...，p_f包含除了2之外的至少两个数p_t和p_u，使得给定所述数b₁，...，b_f：

·如果b_t＝b_u，则(g_s|p_t)＝-(g_s|p_u)，以及

·如果b_t＜b_u，则(g_s|p_u)＝-1，

其中(g_s|p_t)与(g_s|p_u)表示g_s相对于p_t与p_u的勒让德(Legendre)符号。

可以示出：通过该特征，所获得的密钥满足以上定义的等同标准。

根据本发明再一特定特征，所述方法涉及控制方与此处称为请求方的所述密钥持有方。该方法特征在于包含以下步骤：

·请求方随机地选择整数r，计算证明R＝r^v mod n，并且将该证明发送到控制方；

·控制方随机地选择m个质疑d₁，d₂，...，d_m其中i＝1，...，m，并且将这些质疑发送到请求方；

·请求方计算响应

$D=r\×{Q_1}^{d_1}\×{Q_2}^{d_2}\×...\×{Q_m}^{d_m}\mathrm{mod}n,$

并且将该响应发送到控制方；以及

·控制方计算

$D^v\×{G_1}^{{\mathrm{\ϵ}}_1{d}_1}\×{G_2}^{{\mathrm{\ϵ}}_2{d}_2}\×...\×{G_m}^{{\mathrm{\ϵ}}_m{d}_m}\mathrm{mod}n$

其中对于i＝1，...，m，如果则ε_i＝+1；如果则ε_i＝-1，并且验证结果等于证明R。

重要的是，请注意利用该方法的控制方与请求方不需要交换所有证明或者所有响应：它们可以通过相互的协议，只交换某些数据或者对某些或者所有数据施加预定的哈希函数的结果。

当然，通过利用中国剩余理论，可以有利地加速该方法的执行。

例如，为了计算证明R，请求方可以如下进行。对于模数n＝p₁×p₂，其中p₁＜p₂，使C为小于p₁的正数(称为孙子余数)，使得p₁为(p₂×C-1)的因子。请求方随机地选择两个整数r₁和r₂，使得0＜r₁＜p₁且0＜r₂＜p₂，并且计算两个证明分量

和如下从其导出证明的值，其中z＝C×(R₁-R₂)：

R＝z×p₂+R₂

请求方也可以使用中国剩余理论来以与用于Fiat-Shamir方法的上述计算技术类似的方式获得响应D。

最后，请注意：质疑可以被限制为对于i＝1，...，m满足条件0≤d_i≤2^k-1的质疑(其具有简化请求方以及控制方两者的计算的优点)。容易验证：对于相差2^k的d_i的两个值，通过因子g_i相互推断对应的值

因为公共密钥G_i的公布实质上涉及基数g_i的公开，所以可以看出利用范围0≤d_i≤2^k-1内的质疑值获得的安全水平与利用该范围外的质疑值获得的安全水平相同。

根据本发明再一特定特征，所述方法使控制方能够验证其收到的消息M是由这里称为请求方的所述密钥持有方发送给它的。该方法特征在于包含以下步骤：

·请求方随机地选择整数r，首先计算证明R＝r^v mod n，然后计算权标T＝h(M，R)，其中h为哈希函数，最后将权标T发送到控制方；

·控制方随机地选择m个质疑d₁，d₂，...，d_m，其中i＝1，...，m，并且将这些质疑发送到请求方；

·请求方计算响应

并且将该响应发送到控制方；以及

·控制方计算

其中对于i＝1，...，m，如果则ε_i＝+1；如果则ε_i＝-1，并且验证结果等于权标T。

以上关于实体鉴别方法中质疑的值的评述显然同样地适用于该消息鉴别方法。

还请注意：该消息鉴别过程有时被认为是消息签名的一种形式。

根据本发明另一特定特征，另一种对消息进行签名的方法使此处称为签名方的所述密钥持有方能够对发送到控制方的消息M进行签名，特征在于该方法包含以下步骤：

·签名方随机地选择m个整数r_i，其中i＝1，...，m，首先计算证明R＝r^v mod n，然后计算权标T＝h(M，R₁，R₂，...，R_m)，其中h是产生m比特的字的哈希函数，最后将权标T发送到控制方；

·签名方识别权标T的比特d₁，d₂，...，d_m；

·签名方计算响应并且将该响应发送到控制方；以及

·控制方计算

$h(M,{D_1}^v\×{G_1}^{{\mathrm{\ϵ}}_1{d}_1}\mathrm{mod}n,{D_2}^v\×{G_2}^{{\mathrm{\ϵ}}_2{d}_2}\mathrm{mod}n,...,{D_m}^v\×{G_m}^{{\mathrm{\ϵ}}_m{d}_m}\mathrm{mod}n),$

其中对于i＝1，...，m，如果则ε_i＝+1；如果则ε_i＝-1，并且验证结果等于权标T。

本发明的第二方面涉及各种设备。

首先，本发明的这方面涉及包含处理器与存储器的电子电路，特征在于该电子电路能够被编程，以在执行上述任一加密方法时起密钥持有方的作用。

本发明的这方面还涉及一种专用电子电路，特征在于该专用电子电路包含使之能够在执行上述任一加密方法时起密钥持有方的作用的数据。具体地，其可以为特定用途集成电路(ASIC)。

以上两种电子电路例如可以采用电子微芯片的形式。

第三，本发明还涉及一种便携式产品，其适于连接到终端以与该终端交换数据，特征在于该便携式产品包含上述电子电路，并且能够存储所述密钥持有方所特有的识别数据与私有密钥。

该便携式产品可以为例如智能卡或者USB密钥。

第四，本发明还涉及一种终端，其适于连接到便携式产品以与该便携式产品交换数据，特征在于该终端包含被编程来在执行上述任一加密方法时起所述控制方的作用的数据处理设备。

第五，本发明还涉及一种加密***，包含上述的便携式产品以及终端二者。

第六，本发明还涉及一种不可消除数据存储装置，包含电子数据处理程序代码指令，用来作为所述密钥持有方执行上述任一加密方法的步骤。

第七，本发明还涉及一种部分可消除或者全部可消除数据存储装置，包含电子数据处理程序代码指令，用来作为所述密钥持有方执行上述任一加密方法的步骤。

第八，本发明还涉及一种数据处理设备，包含上述的密钥持有方存储装置。该数据处理设备例如可以为个人计算机或者服务器。

第九，本发明还涉及一种不可消除数据存储装置，包含电子数据处理程序代码指令，用来作为所述控制方执行上述任一加密方法的步骤。

第十，本发明还涉及一种部分可消除或者全部可消除数据存储装置，包含电子数据处理程序代码指令，用来作为所述控制方执行上述任一加密方法的步骤。

第十一，本发明还涉及一种数据处理设备，其包含上述的控制方存储装置。

该数据处理设备例如可以为个人计算机或者服务器。

第十二，本发明还涉及一种加密***，包含上述的密钥持有方数据处理设备以及控制方数据处理设备。

以上设备的优点基本上与上述的对应方法的优点相同。

本发明还提供了一种包含指令的计算机程序，从而当所述程序控制可编程数据处理设备时，所述指令使该数据处理设备执行上述加密方法之一。

该计算机程序的优点基本上与上述加密方法的优点相同。

通过阅读以下详细描述，本发明的其他方面与优点变得清楚。

具体实施方式

考虑模数n，其一般为f(其中f＞1)个大的素因子p₁，...，p_f(其中至少有两个是有区别的)的乘积，其中p₁≤...≤p_f且p₁＜p_f：

n＝p₁×...×p_f

每个因子p_j(其中j＝1，...，f)可以与以以下方式定义的严格正整数b_j相关联：(p_j-1)可以被

整除，但是不能被

整除(换言之，b_j是使得

为偶数的最大整数)。容易验证：如果p_j＝3 mod 4，则b_j＝1；且如果p_j＝1 mod 4，则b_j＞1。

如果实体希望成为密钥持有方，则其可以请求鉴定权威方给其分配RSA模数n。然后，该实体构造m＞1数量的私有密钥Q₁，Q₂，...，Q_m，并且公布所述模数n、指数v、以及各个公共密钥G₁，G₂，...，G_m。

根据本发明，这些量符合以下条件：

·指数具有以下形式，其中b＝max(b₁，...，b_f)且k≥1：

v＝2^b+k

·每个公共密钥G_i(其中i＝1，...，m)具有以下形式，其中基数g_i为严格大于1的整数，并且数a_i为使得1≤a_i≤b的整数，并且两个整数中的至少一个严格大于1：

$G_i={g_i}^{2^{a_i}}\mathrm{mod}n$

·每对密钥(Q_i，G_i)(其中i＝1，...，m)满足：

·或者关系式 $G_i={Q_i}^v\mathrm{mod}n---\left(1i\right)$

·或者关系式 $G_i\×{Q_i}^v=1\mathrm{mod}n\left(1^{\′}i\right)$

可以看出：要使满足以上条件的密钥对存在，相对于每个素因子p_j的每个密钥G_i的秩必须为奇。在这点上，请注意：模p的该群整数(the body ofinteger)的非零元素x的“相对于p的秩λ”(其中p为素数)为使得x^λ＝1 mod p(其中对x的逐个幂进行模p)的最小严格正整数λ。

相对于模数n的每个素因子的G_i的秩为奇的条件意味着没有素因子p_j可以使得(p_j-1)等于2的幂；但是，满足该条件的素数(例如3，5，17，257)非常少，而如果为模数的素因子选择大数，则更少。

公共密钥的该特性可以通过以下获得：对于所有j＝1，...，f，根据以下规则，选择整数g_i与a_i：

α_i≥h(g_i)mod p_j

其中，对于该群整数的任意非零整数x模p(p为素数)，将“相对于p的x的高度h(x)模p”定义成2的最大幂，其是相对于p的x的秩的因子。

下面通过非限定性例子，描述本发明的一个特定实施例。

在该实施例中，选择模数n的素因子p_j，使得其中至少一个与1对4求模同余(其他因子可以与1或3对4求模同余)。根据上述相关数b_j的性质，得出：

b＞1。

另外，对于所有i＝1，...，m：

$G_i={g_i}^{2^b}\mathrm{mod}n---\left(4\right)$

请注意：相反，仅仅对其所有素因子都与3对4求模同余的模数，才存在申请WO-00/45550定义的密钥(如上所述，其满足关系式

可以看出，由等式(4)定义的公共密钥G_i相对于模数的每个素因子具有奇数秩。

最后，在所述基数g₁，...，g_m中必须存在至少一个数g_s，且在所述素因子p₁，...，p_f中必须存在除2之外的至少两个数p_t与p_u，使得：

·如果b_t＝b_u，则(g_s|p_t)＝-(g_s|p_u)        (5a)

·如果b_t＜b_u，则(g_s|p_u)＝-1，            (5b)

其中相对于p_t与p_u，确定数b_t与b_u(对这些数的定义见上)，并且(g_s|p_t)与(g_s|p_u)表示相应的g_s的勒让德符号。

在这点上，请注意：模p的该群整数的非零元素x的“相对于p的勒让德符号”(x|p)(p为除2之外的素数)等于x^(p-1)/2 mod p。容易显示：如果x为p的倍数，则(x|p)＝0；如果x等于该群整数的另一元素的平方模p，则(x|p)＝+1；否则(x|p)＝-1。

等式(5a-5b)表示本发明的以下实施例，其中密钥满足等同标准，即其中除非知道模数的素因子，否则在合理的时间内，不可能从公共参数n、v、以及G₁，G₂，...，G_m计算私有密钥Q₁，Q₂，...，Q_m。

相反，如果知道模数的因子，则可以以下方式获得私有密钥。使A为数(p_j-1)/2^b的最小公倍数(其中j＝1，...，f)，并使u为使得(u×v+1)为A的倍数的最小正整数。每个私有密钥满足：

如果选择等式(1i)(即

)，或者

如果选择等式(1′i)(即)。

也可使用中国剩余理论计算私有密钥Q₁，Q₂，...，Q_m。

最后是关于基数的一些评述。

发现当采用较小的基数时，在执行根据本发明的方法期间所实现的计算速度增加。因此推荐选择尽可能小的基数。

例如，可以从前54个素数中选择基数(第54个素数为251)。

可替换地，***地将前m个素数采用为基数，即g₁＝2，g₂＝3，g₃＝5，g₄＝7，g₅＝11，等等。该方法具有简单的优点，但是不保证获得满足等同标准的密钥集。但是，可以显示：不满足等同标准的集合的比例小于1/2^m；例如，对于m＝16(对应于g₁₆＝53)，该比例小于1/65536。

Claims (8)

1.一种非对称密钥加密方法，其涉及具有m≥1数量的私有密钥Q₁，Q₂，...，Q_m以及各自的公共密钥G₁，G₂，...，G_m的密钥持有方，每对密钥(Q_i，G_i)满足关系式G_i＝Q_i ^vmodn或者关系式G_i×Q_i ^v＝1modn，其中，其中i＝1，...，m，n为等于f个私有素因子p₁，...，p_f的乘积的公共整数，其中f＞1，该f个私有素因子中的至少两个是有区别的，并且指数v为等于2的幂的公共整数，该方法特征在于：

v＝2^b+k，

其中k为严格正整数，而b＝max(b₁，...，b_f)，其中b_j为使得

为偶数的最大整数，其中j＝1，...，f，并且

每个公共密钥G_i具有以下形式：

$G_i={g_i}^{2^{a_i}}\mathrm{mod}n,$

其中i＝1，...，m，基数g_i为严格大于1的整数，而数a_i为使得1≤a_i≤b的整数，并且数a_i中的至少一个严格大于1。

2.如权利要求1所述的方法，特征在于：所述素因子p₁，...，p_f中的至少一个与1对4求模同余，并且整数a_i都等于所述数b，其中i＝1，...，m。

3.如权利要求1或2所述的方法，特征在于：所述基数g₁，...，g_m包含至少一个数g_s，并且所述素因子p₁，...，p_f包含除2之外的至少两个数p_t和p_u，使得给定所述数b₁，...，b_f，

·如果b_t＝b_u，则(g_s|p_t)＝-(g_s|p_u)，以及

·如果b_t＜b_u，则(g_s|p_u)＝-1，

其中(g_s|p_t)与(g_s|p_u)表示相对于p_t与p_u的、g_s的勒让德符号。

4.如权利要求1所述的方法，特征在于：基数g₁，...，g_m为素数。

5.如权利要求4所述的方法，特征在于：基数g₁，...，g_m是从前54个素数中选择的。

6.如权利要求1所述的方法，其涉及控制方与此处称为请求方的所述密钥持有方，特征在于该方法包含以下步骤：

·请求方随机地选择整数r，计算证明R＝r^vmodn，并且将该证明发送到控制方；

·控制方随机地选择m个质疑d₁，d₂，...，d_m，并且将这些质疑发送到请求方，对于i＝1，...，m，所述质疑满足条件0≤d_i≤2^k-1；

·请求方计算响应

$D=r\×{Q_1}^{d_1}\×{Q_2}^{d_2}\×...\×{Q_m}^{d_m}\mathrm{mod}n,$

 并且将该响应发送到控制方；以及

·控制方计算

$D^v\×{G_1}^{{\mathrm{\ϵ}}_1{d}_1}\×{G_2}^{{\mathrm{\ϵ}}_2{d}_2}\×...\×{G_m}^{{\mathrm{\ϵ}}_m{d}_m}\mathrm{mod}n$

其中，对于i＝1，...，m，如果G_i×Q_i ^v＝1modn，则ε_i＝+1；如果G_i＝Q_i ^vmodn，则ε_i＝-1，并且验证结果等于证明R。

7.如权利要求1所述的方法，使得控制方能够验证其收到的消息M是由此处称为请求方的所述密钥持有方发送给它的，特征在于该方法包含以下步骤：

·请求方随机地选择整数r，首先计算证明R＝r^vmodn，然后计算权标T＝h(M，R)，其中h为哈希函数，最后将该权标T发送到控制方；

·控制方随机地选择m个质疑d₁，d₂，...，d_m，并且将这些质疑发送到请求方，对于i＝1，...，m，所述质疑满足条件0≤d_i≤2^k-1；

·请求方计算响应

并且将该响应发送到控制方；以及

·控制方计算

其中对于i＝1，...，m，如果G_i×Q_i ^v＝1modn，则ε_i＝+1；如果G_i＝Q_i ^vmodn，则ε_i＝-1，并且验证结果等于权标T。

8.如权利要求1所述的方法，使得此处称为签名方的所述密钥持有方能够对其发送到控制方的消息M进行签名，特征在于该方法包含以下步骤：

·签名方随机地选择m个整数r_i，其中i＝1，...，m，首先计算证明R_i＝r_i ^vmodn，然后计算权标T＝h(M，R₁，R₂，...，R_m)，其中h为产生m比特的字的哈希函数，最后将权标T发送到控制方；

·签名方识别权标T的比特d₁，d₂，...，d_m；

·签名方计算响应modn，并且将该响应发送到控制方；以及

·控制方计算

$h(M,{D_1}^v\×{G_1}^{{\mathrm{\ϵ}}_1{d}_1}\mathrm{mod}n,{D_2}^v\×{G_2}^{{\mathrm{\ϵ}}_2{d}_2}\mathrm{mod}n,...,{D_m}^v\×{G_m}^{{\mathrm{\ϵ}}_m{d}_m}\mathrm{mod}n),$

其中，对于i＝1，...，m，如果G_i×Q_i ^v＝1modn，则ε_i＝+1；如果G_i＝Q_i ^vmodn，则ε_i＝-1，并且验证结果等于权标T。