[发明专利]一种基于强RSA假设的数字签名方法

说明书

技术领域

本发明主要涉及信息安全的数字签名方法，尤其涉及一种高效的基于强RSA假设的数字签名方法。

背景技术

随着网络技术的不断发展，网络信息的交互越来越频繁，仅仅加密信息已经远远不能满足需求，数字签名的应用已经越来越广泛。

数字签名是现代密码学中的基础原语。签名方案中，签署者生成包括签署密钥和验证密钥的密钥对。签署密钥由签署者秘密保存，验证密钥对潜在的验证者公开。对于一个消息，签署者使用签名函数和签署密钥生成一个串，该串称为该消息的签名。之后验证者能使用验证函数和验证密钥检验该签名的合法性。

数字签名的安全性分析中一个常用的方法是随机应答器模型(Random Oracle Model)，在该模型中建立一个能被所有主体访问的随机应答器。因为随机应答器是为在数学上分析方便而引入的一种理想的概念，现实中该算法往往由密码学中的哈希函数代替。随机应答器模型下，可以设计出高效的密码学方案。例如最优非对称加密填充(OAEP)的RSA方案，RSA方案在这种模式下加密已经被证明在随机应答器模型下是安全的。然而，Canetti等人提出存在随机应答器模型下被证明是安全的方案，但是该随机应答器的任何实例都会导致不安全的构造。他们的工作表明随机应答器模型在根本上是存在一些问题的。

另外一种模型称为标准模型(standard model)，该模型中模拟所有主体的行为都和现实协议中的行为是一样的或者是不可区分的。安全证明中不再需要其他的假设。由于随机应答器是启发式的方法，所以密码学中趋向于设计在标准模型下安全的方案。

第一个签名方案是RSA方案，RSA方案组合上填充方式被证明在随机应答器模型下是安全的，该方案基于的假设是RSA假设。2000年，Cramer和Shoup提出在标准模型下安全的签名方案，但是该方案是基于一个更强的假设——强RSA假设。之后许多基于强RSA假设的方案越来越多，如Camenish-Lysyanskaya方案，Zhu方案，Yu-Tate方案等等。这些方案的主要优势在于他们都有在标准模型下的安全性证明，主要的劣势在于与RSA方案相比，他们需要付出更多的计算代价。例如Camenish-Lysyanskaya方案的计算代价大约是RSA方案的三倍。

下面是现有签名方法的具体分析：

1)相关概念及定义

安全的RSA模RSA模n＝pq，如果p＝2p′+1并且q＝2q′+1，其中p′，q′为质数，则称模n是安全的。

强RSA假设：假设n为RSA模，对于一个随机元素对于任意的多项式概率算法，找到一对(v，e)，使得e＞1并且v^e＝umodn的概率是可忽略的。

安全的签名方案：一个签名方案S＝<Gen，Sig，Ver>，Gen表示密钥生成算法，用于生成验证公钥和签名私钥；Sig表示签名算法，用于生成某个消息的签名；Ver表示验证算法，用于验证得到的签名是否合法。如果伪造者在知道多项式个由他自己选择的消息对应的签名后，仍然不能伪造一个新的消息对应的签名。称这个签名方案在自适应选择消息攻击下是存在性不可伪造的。

2)Camenish-Lysyanskaya方法及其分析改进

Camenish-Lysyanskaya方法(简写为CL方法)的具体内容如下。

密钥生成输入1^k，选取安全的RSA模n＝pq，其中p＝2p′+1，q＝2q′+1，且p，q的长度为l_n＝2k。随机选取a，b，c∈QR_n。输出公钥PK＝(n，a，b，c)，私钥SK＝(p′，q′)。

生成签名输入信息随机选取长度为l_e≥l_m+2的质数e，选取随机数s，其长度为l_s＝l_n+l_m+l，其中l是安全参数。计算将(e，s，υ)作为消息m的签名。

进行验证要验证(e，s，υ)是否为消息m的签名，检查υ^e≡a^mb^scmodn，以及若成立则输出1，表示该签名是合法的，否则，输出0。

CL方案已经证明在标准模型下是存在性不可伪造的。