專利名稱:二次域密碼產(chǎn)生方法和二次域密碼簽名方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全和密碼學(xué)領(lǐng)域,具體地說涉及二次域密碼產(chǎn)生方法和二次域密碼簽名方法��。
背景技術(shù):
整數(shù)分解問題(IFP)和離散對(duì)數(shù)問題(DLP)是構(gòu)造公鑰密碼體制的兩類重要難題����。最具代表意義的有基于IFP的RSA算法和基于GF-DLP(Galois域的乘法群中的DLP)的ElGamal算法。目前被視為可以代替RSA算法的橢圓曲線密碼算法(ECC)是基于Galois域上橢圓曲線DLP的�,橢圓曲線DLP曾被認(rèn)為比GF-DLP難。但是�����,Menezes�����,Okamoto和Vanstone利用Weil pairing提出了著名的MOV攻擊方法,得出的結(jié)論是橢圓曲線DLP可以歸約到GF-DLP��。
二次域密碼最早是在1988年由Buchmann和Williams提出�,他們的思想是利用二次域理想類群中的離散對(duì)數(shù)問題(CL-DLP)構(gòu)造Diffie-Hellman密鑰交換系統(tǒng)。CL-DLP至少像IFP一樣難��,所以二次域密碼吸引著密碼學(xué)研究者廣泛的興趣�。但是,由于其特殊性��,求其理想類群的階(即類數(shù))非常困難�����,導(dǎo)致許多現(xiàn)有的離散對(duì)數(shù)密碼設(shè)計(jì)的思想難以應(yīng)用其中�。因此,基于二次域類群上離散對(duì)數(shù)的密碼系統(tǒng)和簽名體制的研究一直沒有獲得充分的發(fā)展�����。
2000年�����,Hamdy和Mller明確地給出了安全的二次域必須滿足的性質(zhì)�。但難以計(jì)算類數(shù)依然是發(fā)展道路上最主要的障礙。
同年����,Hamdy等人利用根問題思想,提出了第一個(gè)真正有效的基于二次域的簽名體制�。這一體制完全避開了計(jì)算類數(shù)的需求,但其簽名過長����。
在這種情況下,本來有些非最大階虛二次域(non-maximalimaginary quadratic orders)的CL-DLP可歸結(jié)為GF-DLP�����,但人們只能用更大的代價(jià)來研究基于非最大階虛二次域的密碼��。
與此同時(shí)���,本發(fā)明的發(fā)明人借助丟番圖方程開辟了一條新的道路�,提出了在不知道類數(shù)的情況下給出類數(shù)的大素?cái)?shù)因子的密碼方案����,但需要面對(duì)大參數(shù)的計(jì)算問題��。
所以�����,至今仍然沒有一個(gè)實(shí)用且高安全級(jí)別的二次域密碼體制���。
一種現(xiàn)有技術(shù)的基于非最大階虛二次域的密碼體制設(shè)計(jì)主要形式是取虛二次域 中的D=-2δq2δ1p2δ2,]]>這里p,q是兩個(gè)大素?cái)?shù)�,δ,δ1����,δ2∈{0,1}且δ1+δ2>0����。當(dāng)D=-2p2,p是一個(gè)大素?cái)?shù)時(shí)�,由于二次域K的類數(shù)h(Δ)滿足對(duì)于Δ<0,Δ≠-3����,-4,h(Δf2)=h(Δ)fΠp|f(1-(Δp)1p)]]>這里f是正整數(shù), 是Kronecker符號(hào)�����,Δ為K的判別式�����,即Δ=(2/σ)2D�����, 所以由h(-8)=1知�����,h(-8p2)=p-(-8p),]]>這里 是Legendre符號(hào)�。Hühnlein和Takagi證明了這時(shí)CL-DLP可通過多項(xiàng)式時(shí)間歸約為GF(p)-DLP或GF(p2)-DLP���。自此以后����,取D=-qp2研究二次域密碼設(shè)計(jì)成為首選�,這里p,q是兩個(gè)大素?cái)?shù),其安全性不低于對(duì)qp2的分解���。
利用滿足D=-qp2的非最大階虛二次域 構(gòu)造密碼是一個(gè)具有高安全性的密碼設(shè)計(jì)�。但它有一個(gè)最大的缺陷h(-qp2)=h(-q)p(1-(-qp)1p)=h(-q)(p-(-qp))]]>所以實(shí)現(xiàn)密碼體制需要計(jì)算h(-q)���。但兩個(gè)素?cái)?shù)p�,q都需要取得很大�,當(dāng)q很大時(shí)計(jì)算h(-q)變得困難。由于達(dá)到高安全性要求后����,q將要選擇的非常大,所以導(dǎo)致現(xiàn)有技術(shù)一的實(shí)現(xiàn)困難�����。
另一種現(xiàn)有技術(shù)主要是發(fā)明人基于丟番圖方程的方法而提出的在不知道類數(shù)的情況下����,利用給出的類數(shù)的大素?cái)?shù)因子來構(gòu)造的密碼方案。但這種方案需要面對(duì)大參數(shù)的計(jì)算問題�,即給定類數(shù)的大素?cái)?shù)因子q后,依據(jù)丟番圖方程得到的二次域 中的D特別大��,這對(duì)二次域密碼的實(shí)現(xiàn)帶來了困難。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種實(shí)用且高安全級(jí)別的二次域密碼產(chǎn)生方法和二次域密碼簽名方法���,解決了高安全級(jí)別的二次域密碼體制的實(shí)用化問題��。
根據(jù)第一方面�,本發(fā)明提供一種二次域密碼產(chǎn)生方法�,包括依據(jù)丟番圖方程理論����,對(duì)給定不太大的素?cái)?shù)q,找到二次域 使其類數(shù)h(D1)含有素因子q���,而且D1是含有大素?cái)?shù)因子的無平方因子數(shù)�;選定大素?cái)?shù)p滿足gcd(q,p-(D1p))=1,]]> 表示勒讓得符號(hào)�����;得到非最大階二次域 這里D=D1p2��;在 中建立二次域密碼體制����,系統(tǒng)只需要公開參數(shù)D�。
根據(jù)第二方面�����,本發(fā)明提供一種二次域密碼簽名方法�����,包括選取k<L��,計(jì)算約化理想R~Gk���;其中L是大整數(shù)�����,G是二次域類群CK中的一個(gè)階為 的元����,D=D1p2���,p是大素?cái)?shù)��,D1含有大素?cái)?shù)因子�����,且滿足q|h(D1)和gcd(q,p-(D1p))=1,]]>k=Q(D);]]>計(jì)算h=H(M‖R)�;計(jì)算y=k+hx,從而得到簽名為S(M)=(h�,y),其中x<L��,是秘密鑰�。
本發(fā)明以利用丟番圖方程構(gòu)造安全二次域的算法為基礎(chǔ),針對(duì)現(xiàn)有體制在計(jì)算效率上的難點(diǎn)����,利用二次域的特質(zhì)���,巧妙的融合了非最大階二次域的情形����,消除了在系統(tǒng)參數(shù)中公布類數(shù)的因子的必要性��,從而給出了保密程度更高的二次域密碼體制�����。由于保密性的提高,該體制中允許安全地縮短系統(tǒng)參數(shù)的長度�。
圖1是根據(jù)本發(fā)明的一個(gè)優(yōu)選實(shí)施方案的二次域 生成方法流程圖。
具體實(shí)施例方式
下面將參照附圖對(duì)本發(fā)明進(jìn)行更詳細(xì)的說明��。
(1)二次域和類群的概念為了介紹本發(fā)明的二次域密碼體制�,這里首先介紹二次域和類群的基本概念(可參看華羅庚[14],設(shè)K=Q(D)]]>是二次域�,這里D是無平方因子的整數(shù)。再設(shè)ω=σ-1+Dσ,]]> 則熟知K的判別式(discriminant)為Δ=(2/σ)2D�����。如果α�,β∈K,用α表示α在K中的共軛(conjugate)�,并且用[α,β]表示模(module)���,即[α����,β]={xα+yβ|x�,y∈Z}=Zα+Zβ用Tr(α)=α+α和N(α)=αα分別表示α的跡(trace)與范(norm)。設(shè)OK={α∈K|Tr(α)�����,N(α)∈Z},則OK=[1�����,ω]���。
再設(shè)α1����,…����,αm∈OK為任給的m個(gè)整數(shù)�����,稱集合{η1α1+…+ηmαm|ηi∈OK(i=1����,…,m)}為由α1����,…�����,αm生成的K或OK中的理想����,記為[α1��,…����,αm]。設(shè)A=[α1����,…,αm]�,B=[β1,…���,βk]為K中的兩個(gè)理想���,定義A與B的乘積為AB=[α1β1���,…,α1βk�����,α2β1�����,…�,α2βk,…��,αmβ1��,…���,αmβk]因?yàn)檎麛?shù)環(huán)OK是Dedekind整環(huán)�,所以O(shè)K中的理想的唯一分解定理成立�,即任一不等于零的非單位理想���,如不計(jì)分解的次序��,則可唯一分解成有限個(gè)素理想的乘積��。設(shè)α���,β∈OK�����,若A|[α-β]�����,則稱α����,β對(duì)模A同余����,記為α≡β(mod A)。根據(jù)此同余關(guān)系可以將OK進(jìn)行等價(jià)分類�����,其類數(shù)稱為理想數(shù)A的范,記為N(A)(顯然�����,N(A)即商環(huán)OK/A的階)���。
下面介紹K的類數(shù)的概念��。設(shè)A�����,B是K上的兩個(gè)理想�����,如果有K上的主理想[α]���,[β]存在使[α]A=[β]B,那么稱A與B同屬一個(gè)理想類�����,記為A~B�。這顯然是一個(gè)等價(jià)關(guān)系。由此關(guān)系可將K上全體理想進(jìn)行等價(jià)分類�,所有等價(jià)類(即理想類)對(duì)于類Ci與類Cj的乘法構(gòu)成理想類群CK,這里CiCj={AB|A∈Ci����,B∈Cj}Dirichlet證明了CK是一個(gè)有限Abel群。所以CK的階是有限的����,稱為K或OK的理想類數(shù),簡稱類數(shù)����,記為h(K)或h(D)。這是顯然的對(duì)CK中的任一個(gè)理想數(shù)A����,總有α∈OK使Ah(K)=[α],即Ah(K)~[1]�;并且如果An=[α],l=(n�,h(K)),那么Al~[1]���。
在二次域K中�����,OK的整理想可被表示成 這里a����,b∈Z,a>0且4a|(b2-Δ)��,即存在一個(gè)正整數(shù)c使得Δ=b24ac��。如果gcd(a�����,b�,c)=1,-a<b≤a≤c并且在a=c時(shí)�,要求b≥0,那么理想 被說成是約化理想��。理想類群CK中�,每個(gè)理想類中恰有一個(gè)約化理想。所以���,在同構(gòu)的意義下CK可以被表示成互不等價(jià)的約化理想的集合�����。
Gross和Zagier對(duì)虛二次域���,證明了以下重要的定理Gross-Zagier定理設(shè) 是判別式為D的虛二次域,h(D)為其類數(shù)�����,則有h(D)>155(log|D|)Πp|Dp≠|D|(1-[2p]p+1)]]>其中p是素?cái)?shù)�����,[x]表示不超過x的最大整數(shù)�。
對(duì)于實(shí)二次域,相應(yīng)的問題很難����。主要的困難在于實(shí)二次域的正則子。由于正則子的不規(guī)則性����,導(dǎo)致了實(shí)二次域類數(shù)的研究尤其困難。
(2)新的二次域密碼體制設(shè)計(jì)要將基于二次域密碼體制推向應(yīng)用���,就必須使其具有可接受的運(yùn)算效率����,即提高計(jì)算二次域類數(shù)或利用丟番圖方程的參數(shù)生存的效率。
本發(fā)明將以發(fā)明人近年來提出的利用丟番圖方程的二次域密碼體制為基礎(chǔ)��,融合非最大階二次域的優(yōu)點(diǎn)�,提出一個(gè)可實(shí)現(xiàn)的高安全的二次域密碼體制設(shè)計(jì)方法。
下面以設(shè)計(jì)二次域簽名為例說明本發(fā)明��,也就是說�����,其他類型的二次域密碼體制可以用這里介紹的思想平移出來��。
本發(fā)明的主要突破在于首先����,依據(jù)丟番圖方程理論,對(duì)給定不太大的素?cái)?shù)q����,可以找到二次域 使其類數(shù)h(D1)含有素因子q,而且D1是含有大素?cái)?shù)因子的無平方因子數(shù)�;然后�����,選定大素?cái)?shù)p滿足gcd(q,p-(D1p))=1,]]> 表示勒讓得(Legendre)符號(hào)���,得到非最大階二次域 這里D=D1p2;最后���,在 中建立二次域密碼體制,系統(tǒng)只需要公開參數(shù)D���。
這樣做是可行的���。圖1是根據(jù)本發(fā)明的一個(gè)優(yōu)選實(shí)施方案的二次域 生成方法流程圖。首先利用二次域類數(shù)的可除性結(jié)果��,可以得到二次域 使其類數(shù)滿足q|h(D1)�。例如,在選定不太大素?cái)?shù)q后��,再隨機(jī)選大素?cái)?shù)r���,正整數(shù)y>1��,由cx2+22mr=y(tǒng)q計(jì)算出cx2���,這里m�����,x是正整數(shù)����,c是無平方因子數(shù)��,如果取D1=-cr���,則有q |h(D1)��。
然后����,令D=D1p2�����,p是大素?cái)?shù),利用非最大階二次域 和公式h(Δp2)=h(Δ)(p-(Δp)),]]>這里 是Legendre符號(hào)�����,Δ=(2/σ)2D1�����, 來建立密碼體制��。由于gcd(q,p-(D1p))=1,]]>所以很容易找到階為 的生存元��。
最后���,說明建立二次域密碼簽名體制只需要公開二次域的D。也就是在系統(tǒng)揭示版中隱藏q�,p的信息。
本發(fā)明類似于Schnorr簽名體制�,但結(jié)合了二次域的特征,消除公布大素?cái)?shù)因子q��,p的需要�����,描述如下
系統(tǒng)設(shè)計(jì)設(shè)D=D1p2,p是大素?cái)?shù)�,D1含有大素?cái)?shù)因子,且滿足q|h(D1)和gcd(q,p-(D1p))=1,]]>G是二次域類群CK中的一個(gè)階為 的元����。
選取大整數(shù)L,使得L<(p-(D1p)).]]>為了不使L取值過小�����,建議取L<q(p-(D1p))<2L.]]>定義單向散列函數(shù)H{0����,1}*→(1,L)���,系統(tǒng)的公開參數(shù)為D����,L�����,G����,H�����。此時(shí)�����,q�����,p不再需要�,可以銷毀�。
顯然,散列函數(shù)不揭示二次域的任何信息�。
密鑰計(jì)算用戶A任選一隨機(jī)數(shù)x<L�����,并計(jì)算約化理想V~G-x�����。于是用戶A以x作為他的秘密鑰,����,以V作為他的公開鑰。
簽名設(shè)用戶A欲對(duì)消息M進(jìn)行簽名�,Step 1.他首先隨機(jī)選取k<L,計(jì)算約化理想R~Gk����;Step 2.然后,計(jì)算h=H(M‖R)��;Step 3.計(jì)算y=k+hx�。
于是A的簽名為S(M)=(h,y)���。
驗(yàn)證驗(yàn)證者B計(jì)算約化理想R′~GyVh�����,驗(yàn)證h=H(M‖R′)���。
本方案與Schnorr最重要的區(qū)別在于簽名過程的Step 3。在Schnorr體制中��,簽名等式為y=k+hx(mod q)。而本體制中��,沒有取模運(yùn)算���。需要注意的是在Schnorr算法簽名等式計(jì)算中���,模運(yùn)算是必須的(模數(shù)可以是q,也可以是被q整除的階的因子)�。這不僅是為了縮短簽名并提高效率,更重要的是�����,在GF(p)中進(jìn)行的簽名體制�,若沒有模運(yùn)算,就可以通過中國剩余定理對(duì)整個(gè)體制進(jìn)行攻擊���,以偽造簽名���。
一種Schnorr體制的變形,給出了以合數(shù)為模的簽名體制�。在這一體制中�����,即使沒有簽名等式計(jì)算中的模運(yùn)算,上述攻擊也無法進(jìn)行�����。
在二次域的理想類群中�����,利用中國剩余定理的攻擊同樣不存在����。而這一安全特性對(duì)于二次域簽名體制就產(chǎn)生了非常大的意義。因?yàn)榭梢該?jù)此特性���,在簽名等式中去除模運(yùn)算��,從而在很大程度上消除了公布q�,p的必要��。
由于公布q�,p的另外部分功能是給定k,x的取值范圍����,這一需求通過給出大整數(shù)L也被消除了����。
至此�����,已經(jīng)完全可以在系統(tǒng)公告中隱藏q���,p�,即隱藏關(guān)于二次域的重要信息���,使得即使縮短參數(shù)q�����,仍然能保持安全性���。由于參數(shù)q被縮短,無論是在建立系統(tǒng)的過程中���,還是在簽名或驗(yàn)證的過程中�����,計(jì)算效率都獲得明顯改進(jìn)��,利用丟番圖方程的二次域簽名體制的可應(yīng)用性被大大提高�����。
由于二次域的理想類群上的離散對(duì)數(shù)問題CL-DLP比普通的GF-DLP以及IFP有著更高的難度���,因而對(duì)于二次域密碼系統(tǒng)而言也具有更高的安全性。但是現(xiàn)有的基于二次域的密碼體制分別有著運(yùn)算效率和實(shí)現(xiàn)困難的問題���,無法完全滿足實(shí)際應(yīng)用的需要�����。
本發(fā)明以利用丟番圖方程構(gòu)造安全二次域的算法為基礎(chǔ)���,針對(duì)現(xiàn)有體制在計(jì)算效率上的難點(diǎn),利用二次域的特質(zhì)����,巧妙的融合了非最大階二次域的情形�,消除了在系統(tǒng)參數(shù)中公布類數(shù)的因子的必要性�����,從而給出了保密程度更高的二次域密碼體制���。由于保密性的提高�����,該體制中允許安全地縮短系統(tǒng)參數(shù)的長度�。
由于系統(tǒng)參數(shù)的縮短��,與原有的二次域體制相比�����,本發(fā)明在效率上有了較大的提高���,克服了現(xiàn)有的二次域密碼體制的主要障礙����,滿足了安全的實(shí)際應(yīng)用的需求。
顯而易見�,在此描述的本發(fā)明可以有許多變化,這種變化不能認(rèn)為偏離本發(fā)明的精神和范圍���。因此���,所有對(duì)本領(lǐng)域技術(shù)人員顯而易見的改變���,都包括在本權(quán)利要求書的涵蓋范圍之內(nèi)��。
權(quán)利要求
1.一種二次域密碼產(chǎn)生方法�����,包括對(duì)給定的素?cái)?shù)q���,找到二次域 使其類數(shù)h(D1)含有素因子q,而且D1是含有大素?cái)?shù)因子的無平方因子數(shù)���;選定大素?cái)?shù)p滿足gcd(q,p-(D1p))=1,]]> 表示勒讓得符號(hào)����;得到非最大階二次域 這里D=D1p2;在 中建立二次域密碼體制����,系統(tǒng)只需要公開參數(shù)D。
2.如權(quán)利要求1所述的二次域密碼產(chǎn)生方法�����,其特征在于所述找到二次域 的步驟包括由以cx2+22mr=y(tǒng)q計(jì)算出cx2��,這里m���,x是正整數(shù)����,r是大素?cái)?shù)���,正整數(shù)y>1�,c是無平方因子數(shù)���;取D1=-cr����。
3.一種二次域密碼簽名方法,包括選取k<L����,計(jì)算約化理想R~Gk;其中L是大整數(shù)�,G是二次域類群CK中的一個(gè)階為 的元,D=D1p2����,p是大素?cái)?shù),D1含有大素?cái)?shù)因子���,且滿足q|h(D1)和gcd(q,p-(D1p))=1;k=Q(D)]]>計(jì)算h=H(M‖R);計(jì)算y=k+hx����,從而得到簽名為S(M)=(h,y)�,其中x<L,是秘密鑰�����。
4.如權(quán)利要求3所述的二次域密碼簽名方法�,其特征在于包括計(jì)算約化理想R′~GyVh�,驗(yàn)證h=H(M‖R′)的步驟�����,其中V是與x對(duì)應(yīng)的公開鑰�。
5.如權(quán)利要求3所述的二次域密碼簽名方法,其特征在于包括選擇L使得L<q(p-(D1p))]]>的步驟���。
6.如權(quán)利要求5所述的二次域密碼簽名方法�,其特征在于L取L<q(p-(D1p))<2L.]]>
全文摘要
本發(fā)明提供一種二次域密碼產(chǎn)生方法����,包括對(duì)給定素?cái)?shù)q,找到二次域QD
文檔編號(hào)H04L9/28GK1909451SQ20061009889
公開日2007年2月7日 申請(qǐng)日期2006年7月19日 優(yōu)先權(quán)日2006年7月19日
發(fā)明者董曉蕾, 曹珍富, 鄭志彬, 位繼偉 申請(qǐng)人:上海交通大學(xué), 華為技術(shù)有限公司