CN1960257A - 一种基于超对数难题和双同余定理的数字签名方法 - Google Patents

Abstract

一种基于超对数难题和双同余定理的数字签名方法密码学、计算机科学；利用杠杆函数、超对数难题和双同余定理设计出一个公开密钥数字签名方法，包括密钥生成、数字签名和身份验证三个部分；其用户拥有两个密钥，即一个私钥和一个公钥，且从公钥不能推出私钥；私钥用于生成文件或消息的签名码，公钥用于验证文件或消息的签名码；该方法能有效抵御已有分析手段的攻击，可用于计算机和通信网络中任何文件、数据的签名与验证，以及电子政务、电子商务中的身份鉴定与内容确认。

Description

一种基于超对数难题和双同余定理的数字签名方法

                             (一)技术领域

公开密钥数字签名方法(简称公钥数字签名方法或签名方法)属于密码技术和计算机技术领域，是信息安全的核心技术之一。

                             (二)背景技术

密码技术的发展经历了古典密码技术、对称密码技术和公钥密码技术三个阶段。1976年，美国学者Diffie和Hellman提出公钥密码体制的思想，标志着公钥密码技术的来临。目前，普遍使用的数字签名技术有RSA方案、Rabin方案和ElGamal方案(参见《应用密码学》，美国Bruce Schneier著，吴世忠、祝世雄等译，机械工业出版社，2000年1月，第334-342页)。为了提高安全性，ElGamal方案常在椭圆曲线上实现，此时，它叫ECC方案。另外还有一个DSA签名方案，它是ElGamal签名方案的改进。

上述方法都是美国人发明的。它们的安全性基于大数难于计算的复杂性，即在有限的时间和资源内，对大数进行因式分解或离散对数求解几乎是不可能的。但是，随着计算机运算速度的提高，它们的安全强度有被削弱的可能。

                         (三)发明内容

本发明是对“新要素公开密钥密码***”(专利号：ZL01110163.6)的又一个引申，所以，两者的某些数学前提以及产生公开密钥与私有密钥的方案都是类似的。

数字签名技术用于计算机网络和通信网络中双方身份的确认、保证传输内容的不可抵赖性、以及电子商务、金融交易和文件签发中身份的鉴别。

本发明希望我们国家在公钥加密与数字签名领域能够拥有自己的核心技术，以确保国家的信息安全、经济安全和主权安全，同时提高我国防范金融欺诈的技术手段。

本节内容略去了对有关性质和结论的证明，如果需要补上，我们将立即呈交。

3.1两个基本概念

3.1.1互素序列的定义与性质

定义：如果A₁、A₂、…、A_n为n个互不相同、两两互素、且大于1的正整数，则称这样的正整数序列为互素序列，简记为{A_i}。

性质：对于任意的正整数m(1≤m≤n)，从互素序列{A_i}中任选m个元素组成子集{Ax₁、Ax₂、…、Ax_m)，则子集的连乘积G＝(Ax₁*Ax₂*…*Ax_m)是唯一确定的，即G与子集{Ax₁、Ax₂、…、Ax_m)一一对应。

证明略。

注意：在本文中，{A_i}是序列{A₁、A₂、…、A_n)的简写，{C_i}是序列{C₁、C₂、…、C_n)的简写。{l(i)}是n个杠杆函数值{l(1)、l(2)、…、l(n))的简写。

符号“*”代表乘法。“A*B”有时简写成“A B”。“mod”代表求余。“gcd”代表最大公约数。 代表S不能整除Q。“←”代表赋值。“≡”代表两边对M求余相等，即模等。

令|x|代表x mod M的阶，‘﹁ ’代表比特的求反运算。

3.1.2杠杆函数

在本发明中，仍需要杠杆函数的概念。设l(.)是由整数到整数的单射函数，其定义域为{1，2，…，n}，值域为{5，6，…，n+4)。

在ZL01110163.6加密方法中，当从公钥推导私钥或破译密文时，需考虑{l(i)}的全排列数n！，当n足够大时，穷举{l(i)}的全排列是不可行的；但从私钥和密文恢复明文时只需考虑{l(i)}的累加和，在n的多项式时问内有解。因此，若以密文为支点，则l(.)是“公开”一端计算量大，“私有”一端计算量小。我们称具有上述性质的l(.)为杠杆函数。

3.2数字签名的技术方案

本发明是一利基于杠杆函数和超递增序列的公钥数字签名方法，简称REESSEl+数字签名方法，根据该方法，可制造数字签名芯片，或开发数字签名软件等。因此，本发明是一种生产数字签名产品所必须遵循的基本原理与技术方案，而不是物理产品本身。

本数字签名方案，由密钥生成、数字签名和身份验证等三部分组成。

3.2.1数字签名与身份验证操作

假设用户U欲通过网络向用户V发送一个具有自己数字签名的文件或消息F，其操作过程如下：

密钥生成：首先，用户U应该去第3方权威机构(CA认证中心或数字证书中心)领取一对由密钥生成部件输出的私钥(Private Key)与公钥(Public Key)，私钥必须由用户U自己保管，不得外泄；公钥则允许以公钥证书的形式向外界公开发放，以便于使用。

数字签名操作：用户U在运行数字签名部件的机器上用自己的私钥对文件或消息F进行签名，得到签名码，并把文件F连同签名码发送给用户V。

身份验证操作：用户V从CA中心获得用户U的公钥证书，在运行身份验证部件的机器上对接收到的文件F和其签名码进行验证，以鉴定签名码是否为用户U所为、文件F在传输过程中是否已被修改。

3.2.2密钥生成部分

密钥生成部分供CA认证中心使用，用来产生一对私钥和公钥。

假设S、T、

是两两互素的整数，其中T≥2ⁿ、 且

是一个非大数，其实现方法是：

(1)随机产生项数为n的超递增序列{A₁，A₂，…，A_n)，计算 $G={\mathrm{\Π}}_{i=1}^n{A}_i$

(2)找到一个正素数M使得gcd(S，M-1)＝1、 且q|(M-1)

这里，q≤n+4为任意素数

(3)选择δ使得(δ，M-1)＝1、且

(4)计算 $\mathrm{\α}\←{\mathrm{\δ}}^{{\mathrm{\δ}}^n},$ W←G^-1(αδ^-1)^1/S、β←δ^(δ+1)WS和 $\mathrm{\γ}\←{\mathrm{\δ}}^{W^n}\mathrm{mod}M$

(5)产生两两不同的值l(1)、l(2)、…、l(n)∈{iδ(mod M-1)|i＝5，6，…，n+4}

(6)计算非互素序列{C₁，C₂，…，C_n|C_i≡A_iW^l(i)(mod M)对于i＝1，2，…，n)。最后，以({A_i}、{l(i)}、W、δ、

)作为私钥，以({C_i}、α、β、γ)作为公钥，S、T、M共用。

3.2.3数字签名

发送方即签名方以自己的私钥({A_i}、{l(i)}、W、δ、 )作为签名密钥。设F为待签文件或消息，Hash为单向散列函数。

(1)令消息摘要H＝Hash(F)，其二进制形式为b₁b₂…b_n

(2)计算 $k_1\←{\mathrm{\Σ}}_{i=1}^n{b}_{i}l\left(i\right),G_0\←{\mathrm{\Π}}_{i=1}^n{A}_i^{-b_i}$

(3)选择Q＜M使得

计算R满足Q≡(R G₀)^SHδ(mod M)

(4)计算 $U\←{\left(R{W}^{k_1-1}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)}\right)}^{\mathrm{QT}}\mathrm{mod}M,$

若

则转至(3)。算法执行后，得到数字签名码(Q、U)，其可随文件F一起发送给验证者。

注意，Q不能被重复生成。

根据双同余定理，在签名中，无需V≡(R^-1WG₁)^QUδ^λ(mod M)，其中 $G_1={\mathrm{\Π}}_{i=1}^n{A}_i^{b_i},$ λ满足 $\mathrm{\λS}\≡((\mathrm{\δ}+1)\mathrm{SU}+{\mathrm{\Σ}}_{i=0}^{n-1}{\left(\mathrm{\δQ}\right)}^{n-1-i}{W}^i)(\mathrm{\δQ}-W)(\mathrm{mod}M-1),$ 这表明

3.2.4身份验证

接收方以发送方的公开密钥({C_i}、α、β、γ)作为验证密钥。设F为待签文件或消息，(Q、U)为其签名码。

(1)令消息摘要H＝Hash(F)，其二进制形式为b₁b₂…b_n

(2)计算 $\hat{G}\←{\mathrm{\Π}}_{i=1}^n{C}_i^{b_i}\mathrm{mod}M$

(3)计算 $X\←{\left(\mathrm{\αH}{Q}^{-1}\right)}^{\mathrm{QUT}}{\mathrm{\α}}^{Q^{n}T},$ $Y\←{\left({\hat{G}}^{\mathrm{QT}}{U}^{-1}\right)}^{\mathrm{US}}{\mathrm{\β}}^{\mathrm{UT}}{\mathrm{\γ}}^T\mathrm{mod}M$

(4)若X≡Y且Q没有被重复，则签名者身份有效且F未被修改，否则，签名者身份无效或F在传输中已被修改。

算法执行后，可以达到鉴别签名真伪、防发送者抵赖和抗攻击者修改的目的。下面证明：若(Q、U)是一个真实的签名码，则有X≡Y(mod M)。

从密钥生成算法知： $\mathrm{\α}\≡{\mathrm{\δ}}^{{\mathrm{\δ}}^n}\≡\mathrm{\δ}{\left({\mathrm{WG}}_0{G}_1\right)}^S\left(\mathrm{mod}M\right),$ β≡δ^(δ+1)WS(mod M)、 $\mathrm{\γ}\≡{\mathrm{\δ}}^{W^n}\left(\mathrm{mod}M\right).$

令V≡(R^-1WG₁)^QUδ^λ(mod M)。因为λ满足 $\mathrm{\λS}\≡((\mathrm{\δ}+1)\mathrm{SU}+{\mathrm{\Σ}}_{i=0}^{n-1}{\left(\mathrm{\δQ}\right)}^{n-1-i}{W}^1)(\mathrm{\δQ}-W)(\mathrm{mod}M-1),$ 可以令

这里k是一个整数，那么

$Q^{\mathrm{QU}}{V}^S\≡{\left(R{G}_0\right)}^{\mathrm{SQU}}{H}^{\mathrm{QU}}{\mathrm{\δ}}^{\mathrm{QU}}{\left(R^{-1}W{G}_1\right)}^{\mathrm{QUS}}{\mathrm{\δ}}^{\mathrm{\λS}}$

${\≡\left(W{G}_0{G}_1\right)}^{\mathrm{QUS}}{\mathrm{\δ}}^{\mathrm{QU}}{H}^{\mathrm{QU}}{\mathrm{\δ}}^{\mathrm{\λS}}$

${\≡\mathrm{\α}}^{\mathrm{QU}}{H}^{\mathrm{QU}}{\mathrm{\δ}}^{((\mathrm{\δ}+1)\mathrm{SU}+\mathrm{\Σ}{\left(\mathrm{\δQ}\right)}^{n-1-i}{W}^i)(\mathrm{\δQ}-W)}$

$\≡{\left(\mathrm{\αH}\right)}^{\mathrm{QU}}{\mathrm{\δ}}^{-(\mathrm{\δ}+1)\mathrm{WSU}}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)\mathrm{QUS}}{\mathrm{\δ}}^{{\left(\mathrm{\δQ}\right)}^n-W^n}$

$\≡{\left(\mathrm{\αH}\right)}^{\mathrm{QU}}{\mathrm{\β}}^{-U}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)\mathrm{QUS}}{\mathrm{\α}}^{Q^n}{\mathrm{\γ}}^{-1}\left(\mathrm{mod}M\right).$

移项得V^S≡(αHQ^-1)^QUα^Qnβ^-Uγ^-1δ^δ(δ+1)QUS(mod M)。因此，有

$V^{\mathrm{ST}}{\≡\left(\mathrm{\α}{\mathrm{HQ}}^{-1}\right)}^{\mathrm{QUT}}{\mathrm{\α}}^{Q^{n}T}{\mathrm{\β}}^{-\mathrm{UT}}{\mathrm{\γ}}^{-T}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)}\mathrm{QUST}$

$\≡{\mathrm{X\β}}^{-\mathrm{UT}}{\mathrm{\γ}}^{-T}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)\mathrm{QUST}}\left(\mathrm{mod}M\right).$

又

$U^U{V}^T\≡{\left(R{W}^{k_1-1}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)}\right)}^{\mathrm{QUT}}{\left(R^{-1}W{G}_1\right)}^{\mathrm{QUT}}{\mathrm{\δ}}^{\mathrm{\λT}}$

$\≡{\left(W^{k_1}{G}_1\right)}^{\mathrm{QUT}}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)\mathrm{QUT}}{\mathrm{\δ}}^{\mathrm{\λT}}$

$\≡{\hat{G}}^{\mathrm{QUT}}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)\mathrm{QUT}}\left(\mathrm{mod}M\right).$

移项得 $V^T\≡{\left({\hat{G}}^{\mathrm{QT}}{U}^{-1}\right)}^U{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)\mathrm{QUT}}\left(\mathrm{mod}M\right).$ 因此

$V^{\mathrm{ST}}{\≡\left({\hat{G}}^{\mathrm{QT}}{U}^{-1}\right)}^{\mathrm{US}}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)\mathrm{QUST}}\left(\mathrm{mod}M\right).$

根据双同余定理，有

$V^{\mathrm{ST}}\≡X{\mathrm{\β}}^{-\mathrm{UT}}{\mathrm{\γ}}^{-T}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)\mathrm{QUST}}\≡{\left({\hat{G}}^{\mathrm{QT}}{U}^{-1}\right)}^{\mathrm{US}}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)\mathrm{QUST}}.$

即 $X{\≡\left({\hat{G}}^{\mathrm{QT}}{U}^{-1}\right)}^{\mathrm{US}}{\mathrm{\β}}^{\mathrm{UT}}{\mathrm{\γ}}^T\≡Y\left(\mathrm{mod}M\right).$

3.3本数字签名方法的安全性

通过分析，基于超对数难题和双同余定理的公钥数字签名方法具有相当高的安全性，当它与加密方法配合使用时能满足实际应用的需要。

超对数难题：令p为素数、c为常数、x未知，则解方程x^x≡c(mod p)是比解g^x≡c(mod p)更困难的。因此，x^x≡c(mod p)问题被称之为超对数难题。

3.4优点和积极效果

3.4.1安全性较高

在目前所用的RSA、ElGamal等数字签名方案中，利用了大数难于计算的问题，随着计算机速度的提高，它们的安全性将受到影响。而本数字签名方法是利用了超对数难题x^x≡c(modp)以及l(.)函数的不确定性，只是在被穷举时才考虑计算机的运算速度，所以，具备更高的安全性。

3.4.2运算速度较快

在本数字签名方法中，无论是签名还是验证，主要涉及素域上的模乘运算和模幂运算。由于模数M较小且模幂运算的个数非常有限，因此，运算速度将会较快。

3.4.3对国家安全有利

互联网是一种开放网，在上面传输的信息必须进行加密和签名。由于我国政府、国防、金融、税务等重要部门业已使用互联网作为通信工具，所以，信息安全关系到国家安全和经济安全。但是，泱泱一个大国的信息安全不能建立在外来的密码算法基础之上，因此，研究我们自己的公开密钥加密与签名算法显得势在必行和具有重大意义。

                           (四)具体实施方式

基于超对数难题和双同余定理的公钥数字签名方法的特点是它能够让每一用户得到两个密钥，一个密钥可以公开，一个密钥只能私人拥有。这样，就不会担心密钥在传递过程中泄密了。当约定通信者在网上传输信息时，发送者使用自己的私有密钥对文件或消息进行数字签名，接收者收到文件和签名码后使用发送者的公开密钥对其进行验证。

每个用户可以到指定的CA(Certificate Authentication)认证中心取得两个密钥。CA认证中心是对用户进行登记且对密钥进行产生、分发和管理的一个机构。它利用3.2.2节的密钥生成方法产生用户的公开密钥与私有密钥。

本数字签名方法可以用逻辑电路芯片或程序语言来实现，它包括两部分：(1)根据密钥生成方法开发出芯片或程序，由CA认证中心使用；(2)根据3.2.3、3.2.4节的数字签名与身份验证方法开发出芯片或程序，由一般用户使用。

Claims (1)

1、一种基于超对数难题和双同余定理的数字签名方法，由密钥生成、数字签名和身份验证三个部分组成，密钥生成部分用来产生用户的一个私有密钥和一个公开密钥(即私钥和公钥)，数字签名部分供发送方使用自己的私钥对文件或消息产生签名码，身份验证部分供接收方使用发送方的公钥来验证签名码，假设S、T、

是两两互素的整数，其中T≥2ⁿ、

且

是一个非大数，其特征在于

●密钥生成部分采用了下列步骤：

(1)随机产生项数为n的超递增序列{A₁，A₂，…，A_n}，计算 $G={\mathrm{\Π}}_{i-1}^n{A}_i$

(2)找到一个正素数M使得gcd(S，M-1)＝1、

且q|(M-1)

这里，q≤n+4为任意素数

(3)选择δ使得(δ，M-1)＝1、且

(4)计算α＝←δ^δn、W←G^-1(αδ^-1)^1/S、β←δ^(δ+1)WS和γ←δ^Wn mod M

(5)产生两两不同的值l(1)、l(2)、…、l(n)∈{iδ(mod M-1)|i＝5，6，…，，2+4}

(6)汁算非互素序列{C₁，C₂，…，C_n|C_i≡A_iW^l(i)(mod M)对于i＝1，2，…，n}

结束后，以({A_i}、{l(i)}、W、δ、

)作为私钥，以({C_i}、α、β、γ)作为公钥，S、T、M共用；

●数字签名部分采用了下列步骡：

发送方以自己的私钥({A_i}、{l(i)}、W、δ、 作为签名密钥，设Hash为单向散列函数，针对文件F

(1)令消息摘要H＝Hash(F)，其二进制形式为b₁b₂…b_n

(2)计算 $k_1\←{\mathrm{\Σ}}_{i=1}^n{b}_{i}l\left(i\right),G_0\←{\mathrm{\Π}}_{i=1}^n{A_i}^{-b_i}$

(3)选择不重复的Q＜M使得

计算R满足Q≡(R G₀)^SHδ(mod M)

(4)计算 $U\←{\left(R{W}^{k_1-1}{\mathrm{\δ}}^{\mathrm{\δ}(\mathrm{\δ}+1)}\right)}^{\mathrm{QT}}\mathrm{mod}M,$

若 则转至(3)最后，得到签名码(Q、U)，其可附在文件F后面发送给接收方；

●身份验证部分采用了下列步骤：

接收方以发送方的公钥({C_i}、α、β、γ)作为验证密钥，针对文件F和签名码(Q、U)

(1)令消息摘要H＝Hash(F)，其二进制形式为b₁b₂…b_n

(2)计算 $\hat{G}\←{\mathrm{\Π}}_{i=1}^n{C}_i^{b_i}\mathrm{mod}M$

(3)计算 $X\←{\left(\mathrm{\α}{\mathrm{HQ}}^{-1}\right)}^{\mathrm{QUT}}{\mathrm{\α}}^{Q^{n}T},Y\←{\left({\hat{G}}^{\mathrm{QT}}{U}^{-1}\right)}^{\mathrm{US}}{\mathrm{\β}}^{\mathrm{UT}}{\mathrm{\γ}}^T\mathrm{mod}M$

(4)若X≡Y且Q没有被重复，则签名者身份有效且F未被修改，

否则，签名者身份无效或F在传输中已被修改。