[发明专利]用于对消息进行数字签名的方法

说明书

本发明涉及一种用于由消息（N）的发送方（100）对所述消息（N）进行数字签名的方法，其中使用作为对称密钥对的一部分的秘密密钥（K_sec）和所述消息（N）来确定基于对称密钥对的校验值（MAC），其中使用作为非对称密钥对的一部分的私钥（K_priv）以及所述校验值（MAC）来确定数字签名（S），以及其中提供所述数字签名（S）以用于传送，本发明还涉及一种用于由接收方（120）检查接收到的经过数字签名的消息（N）的方法。

技术领域

本发明涉及用于对消息进行数字签名的方法，用于检查所接收的经过数字签名的消息的方法以及用于执行所述方法的计算单元和计算机程序。

背景技术

数字签名方法可以基于非对称密码系统，在所述系统中发送方借助于秘密的签名密钥（所谓的“私钥”）来针对数字消息（即针对任何数据）计算称为数字签名的值。该值使得任何人都可以借助于公开验证密钥（所谓的“公钥”）来检查消息的无可争议的创作者身份和完整性。

这种数字签名方法在此通常包括三个函数或例程：密钥生成、签名计算（sign）和签名验证（verify）。在此，密钥生成通常会产生非对称密钥对，该密钥对由私钥和公钥组成。签名例程通常在输入消息时使用私钥来计算数字签名，而验证例程通常在输入消息和数字签名时使用公钥来检查所述消息是否属于所述签名。

发明内容

根据本发明，提出了具有独立权利要求的特征的用于对消息进行数字签名的方法，用于检查所接收的经过数字签名的消息的方法以及用于执行所述方法的计算单元和计算机程序。有利的设计是从属权利要求和以下描述的主题。

本发明涉及对消息进行数字签名并检查以这种方式签名的消息（在此将经过数字签名的消息理解为由消息本身和相关联的数字签名构成的组合），特别是关于对基于量子计算机的攻击的防护。换言之，提供了一种数字签名方法，其安全性在后量子时代保留了大部分安全特性。

数字签名是借助于非对称密码算法产生的。为此使用两个密钥。用于产生签名的私有秘密密钥和用于验证所述签名的公钥。这两个密钥相互依赖，因此形成所谓的非对称密钥对。例如，用于产生非对称密钥的已知方法基于大数的素因子分解。

在消息（即例如应当从发送方传送到接收方的数据集合）中检测传输错误的一种可能性是使用散列函数或散列值。在此，借助于诸如“安全散列算法”(SHA)的散列方法对任何大小的数据（即例如消息）产生校验和或校验值——所谓的散列值；但是，该散列值不能实现对所述数据的（密码）完整性的检验。安全散列函数具有以下特性，即无法产生生成期望散列值的消息。

为了额外保护例如消息的完整性，借助于诸如RSA或基于它（例如RSASASA-PSS）的签名方法，使用私钥和散列值或从散列值中确定数字签名。然后可以将所述消息与所述数字签名一起从产生该数字签名的发送方传送到接收方。这例如可以使用合适的通信手段来进行，例如通过互联网。

然后，接收方可以检查所述数字签名，其方式是接收方自己从所述消息中确定散列值（接收方知道所述散列函数，该散列函数通常也是公开的）并且使用公钥和传送的签名借助于签名方法的验证例程来计算有效性。如果该验证成功，则可以假定所述消息的真实性和完整性。

然而，存在密码不对称部分（所述数字签名）可能被量子计算机破解的危险——与传统计算机相比无论如何都在合理时间内。因此，在建立了量子计算机的情况下，攻击者有可能伪造数字签名。因为可以访问量子计算机的攻击者可以从公钥中计算出私钥并由此拥有计算标准签名所需要的所有秘密信息。