WO2005048525A1 - Procede de signature numerique base sur la conjugaison dans les groupes de tresses, et methode de verification associee - Google Patents

Description

一种基于辫群共轭的数字签名及其验证方法 技术领域

本发明涉及信息安全领域中一种基于辫群的共轭搜索 （C¾P ) 问题和共轭 判定（cap )问题间差异的数字签名及其验证方法 具体是签名者如何 发布一个带有自己私钥签名文件以便验证者使用签名者的公钥来验证该文件 是否为签名者发布的签名文件的方法。 背景技术

现目前广泛使用的数字签名技术是 RSA签名体制， 它的安全性是建立在 大数分解的困难性上的， 然而随着计算机处理能力的不断提高和相关的研究 逐渐深入， RSA不得不不断的加大模数 n位数以确保安全性， 从 512比特到 1024比特到 2048比特。 由于密钥的位数过长， 导致产生大素数和指数计算的 计算量都 4艮大， 因此 R&4的效率不是很高； 而如果为了提高效率采用硬件实 现， 则位数过长导致设备更复杂、 成本更高， 而且由于硬件实现方式的不可 改性， 硬件的使用寿命缩短， 导致成本的进一步提高。

自从 2000年韩国学者 Ki Hyoung KO、 Sang Jin Lee在 CRYPTO 2000提 出了一种基于辫群共轭问题的困难性的密钥交换协议和公钥加密体制以来（ K. H. Ko, S. J. Lee, J. H. Cheon, J. W. Han, J. S. Kang and C. S. Park, New Public-Key Crytosystem Using Braid Groups , Proc. of Crypto 2000, LNCS 1880, Springer- Ver lag (2000) 166 183. ),辫群公钥密码体制得到了广泛的研 究。 然而它的数字签名体制一直没有一个很好的解决方案。 直到 2003年， 韩 国学者 /G fyoimg KO、 oo ^ C/zo提出并实现了两种基于辫群共轭问题的 签名体制 ( Ki Hyoung Ko and Doo Ho Choi and Mi Sung Cho and Jang Won Lee New Signature Scheme Using Conjugacy Problem Ciyptology ePrint Archive: Complete Contents 2003/168 )筒单共轭签名体制 （SGSS)以及共轭签名体制 CSS)。 我们筒要介绍 以及 C^ 这两种签名体制。

筒单共轭签名体制 SCSS

公共参数： 辫群 β_η 散列函数 h 密钥生成： 公钥： 一个 GSP问题为困难问题的共轭对（x， x' ) B_n B_n, 私钥： a 6 B_n, 满足 χ' =一¹

签名： 对于一个给定的比特串消息 Μ, Μ的签名 sign(Mra 'ya， 其中院 y=h(M);

验证： 一个签名 WgTif 是合法的，当且仅当： sign(M)与 y共轭且 x'«'g«¾)

与

然而由于攻击者可以获得很多对的 （ ,α'γμ )，从而可能造成私钥 a的 秘密信息泄漏， 即^ GSP问题。 为了克服以上问题， 他们提出了 签名体 制。

共轭签名体制

公共参数： 辫群 散列函数

密钥生成： 公钥： 一个 GSP问题为困难问题的共轭对（χ， χ' ) B_nxB_n,

私钥： α ζ. Β„, 满足 χ'= - 'χα；

签名： 对于一个给定的消息 Μ, 随机选择一个随机辫元 b , 计算 α =

b~xb ,_y=k{M\a), β = ^b— ^b, Y = 6— "— ,消息 M的签名 w^f^^

( , P , γ)。

验证： 消息 M的签名《χ¾)= (ot, β, Y )为合法签名当且仅当满足：

a ~ χ， β ~ γ ~ y， β ~ xy, α γ ~ x, y。

GS^签名体制由于引入了随机辫元^ 因此很好的克服了 C P问题。但 是可以发现， 由于增加了更多的计算和数据， 因此整个效率明显下降。 发明内容

本发明的发明目的在于， 为了克服了现有技术中针对因大数分解攻击以 及产生大素数消耗计算资源过大,及 C 为解决 SCSS中的 k-CSP问题而增加 更多的计算和数据而存在的产生密钥和签名验证时间过长的问题， 提供一种 基于辫群共轭问题的数字签名及验证方法， 减少计算量和数据， 提高整个签 名体制的效率。

为实现上述的发明目的， 本发明提供一种基于辫群共轭的数字签名方法， 该方法涉及到的参数为： 签名方》S, 签名验证方 需要签名的消息 M, 所需 的系统参数： 辫群生成元个数《, 辫群左子群生成元个数 , 辫元长度上界 /, 辫群 β„φ， Β_η(0的左子群 LBJ), β,,(ί)的右子群 从比特串 {0, 1}* 到辫群 ^(/)的单向散列函数 ζ; 所述签名方法包括以下步骤： ， 步驟 1、 签名方 选择三个辫元 x， e B„ ), Β_η(ϊ), 使得他们 满^ χ， =α χα, 且已知 jc和 要找到 在计算上是不可行的， 并将辫元对 (χ',

： c)作为 <S的公钥， 辫元作为 *的私钥；

步骤 2、 签名方 S对需要签名的消息 Μ使用散列函数 h得到； e B_n(!); 步骤 3、随机生成一个辫元 b RB_n.j-_m(l), 然后使用自己的私钥《和产生的 随机辫元 b对消息 M签名得到 = 'byb-^Ja;

步骤 4、 签名方 S将消息 M以 SJki的签名 输出。

其中， 所述步骤 1中 的公钥辫元对 (χ X)及私钥辫元 Ω的生成包括以下步 驟：

步骤 la、 选定系统参数辫群公钥对间的距离 ί;

步驟 lb、 将辫元 X表示为标准形式 FAU ^ T^ … π_/;

步驟 lc、 随机选择一个辫元 b属于集合 3„ (51)

步據 ld、 计算 x'=6^_1^^=b;

步骤 le、 随机产生一个比特， 如为 1, 计算 X

" 否贝' J , 计算 χ =cycling(x ) , α= α τ"( π)

- 步骤 lf、 判断 χ'是否属于集合 SSSW以及 1(χ) ί是否都成立， 若都成立 输出 （χ,χ ) 为公钥， Ω为私钥； 若有一个不成立， 则执行步驟 le。

所述步驟 2使用散列函数 h得到 y=h(M) f 的处理过程包括以下步 驟： .

步骤 2a、 择一个普通散列函数 其输出 长度为 / ¾_g0^7, 然后 将 —次等分为 /段 R川 R₂|| … IH;

步骤 2b、 将 对应为置换辫元 然后计算 =A1 2...AI 即为所 求的 h(M)。

本发明还提供一种基于辫群共轭的数字签名的验证方法， 其特征在于， 包括以下步驟：

步驟 1、签名验证方 接收签名方 发送的信息 M以及 M的签名 Sign(M) 后， 获取签名方 S的公钥；

步驟 2、 利用系统参数散列函数 z对消息 M进行计算， 得到 y M; 步驟 3、 判定 与 是否共轭， 若不共轭， 则 g^M不是一个合 法签名， 验证失败； 若共轭， 则执行步骤 4;

步骤 4、 利用已获取的 S的公钥计算 gwf Jx'和; 9, 并判定二者是否共 轭， 若不共轭， 则 ^不是一个合法签名， 验证失败； 若共轭， 则 gwM 为消息 M的合法签名。

其中， 所述步骤 1 中获取签名方 S的公钥的方式为带外方式或接收由签 名方 S发送的公钥方式； 所述步驟 3中判定 g<M 与 _y是否共轭和步骤 4 中判定 g<M x，和 是否共轭采用算法 0λ4。

另外， 本发明还提供一种基于辫群共轭的既包括签名方和验 i正方的数字 签名及其验证方法（ C ),该方法涉及到的参数为：签名方 签名验证方 , 需要签名的消息 M, 辫群生成元个数 κ, 辫群左子群生成元个数 m,辫元长度上 界/,辫群 .

的左子群 ^ ， β_η(ί)的右子群 RB^—n l), 从比特串 {0， 1}*到辫群 () 的单向散列函数 h; 所述签名及其验证方法包括以下步骤：

步骤 1、 签名 x' B_n(l), a t Β,

人 ΐ), 使得他们 满足 χ， ^α'χα, 且已知 X和 χ，要找到 α在计算上是不可行的， 并将辫元对 (χ'，

X)作为 S的公钥， 辫元作为 S的私钥；

步骤 2、 签名方 S对需要签名的消息 Μ使用散列函数/ ^得到 ^Μ 65„(/)； 步骤 3、随机生成一个辫元 b

然后使用自己的私钥 和产生的 随机辫元)对消息 Μ签名得到; ¾g<M =a^Jbyb-^]a;

步骤 4、 签名方 S将消息 M以及消息 M的签名 Sign(M) 迭给签名验证 方 V；

步骤 5、签名验证方 接收签名方 S发送的信息 M以及 M的签名 Sign(M) 后， 获取 S的公钥;

步驟 6、 利用系统参数散列函数 A对消息 M进行计算， 得到

步骤 7、 判定

与： μ是否共轭， 若不共轭， 则 ^Μ不是一个合 法签名， 验证失败； 若共轭， 则执行步骤 8; 步骤 8、 利用已获取的 S的公钥计算 sign(M) x，和 x_ ， 并判定二者是否共 轭， 若不共轭， 则 不是一个合法签名， 验证失败； 若共轭， 则 为消息 M的合法签名。

从上述方案可知， 本发明提供的数字签名及其验证方法有如下优点： 由于加入了随机辫元 b, 使得针对每个消息 M, 共轭对 ( z'g M h(M)) 的共轭元为 b— 由于 b为随机因子， 每次签名选择的 b一般都不一样， 因此 每次的共轭元都不相同， 从而掩盖了私钥 a的信息泄漏， 避免了在现有技术 中 SCSS签名体制中单一使用私钥 a作为共轭对 0 M , 的共轭元的 k-CSP问题。本发明提供的签名体制 ECSS利用了辩群左子群和右子群之间的 可交换性， 直接加入一个随机辩元， 用以保护密钥的秘密信息， 提高签名算 法的安全性。 而 则依靠引入两个辅助辩元用以保护密钥秘密信息。 ECSS 相对 GS^最大的优点是在不降低安全性的基础上， 减少了参与的辩元的数目 和共轭判定的次数， 从而大大提高了签名的运算效率， 三种签名体制的比较 具体参看表 1。

表 1

本发明相对于传统的 Λ¾签名方法使用完全不同体系的数学 ，不需要 产生大素数， 大大节省了密钥的位数和签字的位数， 节约了计算资源， 提高 了签名验证效率。 在现有技术中给出的 签名方法在 P III 866ΜΗζ¼ι 理器上得到的数据如表 2所示（其中， 默认设置的参数 1=3, d=4, 2³¹<p<2³², r=3 ):

而本方法相对于 GS ^签名方法签名时间和验证时间都将大大减少， 因此相 对 Λ¾有效率更高的优点。 附图说明

图 1本发明基于辫群共轭的数字签名方法流程图；

图 2为本发明基于辫群共轭的数字签名方法中的密钥生成流程图；

程图；

图 4为本发明对基于辫群共轭的数字签名的验证流程图；

图 5为本发明 CDP问题判定算法 0¾4处理流程图；

图 6 为本发明基于辫群共轭的既包括签名方和验证方的数字签名及其验 证方法流程框图。 具体实施方式

由于本发明涉及到一系列的数学原理， 首先将本发明的数学背景阐述如 下：

辫群^ ("为群参数）是由 r "生成元 , σ₂ , ...... , 。^生成的有 限表示的无限群， 并且它的生成元 σ!, σ₂ ...... ση-！满足以下关系：

σ i σ j = σ j σ i ( | ζ·— | > 1， 1 <i, j <η) ( 1 ) QiGj Qi= Oj O i ( I z -_/| > 1 , 1 <i, j<n) (2)

由左边 个生成员 σ_ΐ5 σ₂ …… σ„^生成的群叫^的左子群， i ^LB_m; 而 由右边的 个生成元 _m+J， σ_ιη+2 ...... 生成的子群叫 ^的右子群，记

^LRB 。 由生成元关系（1)显然可知： 任取 (jc, y)ez^,„ xR^_₇__M, 有 =yx。 对于一个辫元 6， 若他只包含 σ_ΐ5 σ₂ ...... σ_η-1而不含 σ σ₂ …… σ_η-1 的逆元，则称 b为一个正元。若对于正元 b、 a,有一个正元或单位元 c使得 b="c, 则称 为 b的子元。 辫元 Δ=(σι σ₂... σ_η-1) σ₂... σ_η-2)... ( σ j σ ₂ ) ( σ j ) 为辫群 „的本元。 △满足 Zlb = σ^= σ^。 其中 Δ的子元称作置换 元， 他们组成的集合和对称群 Ση的 η!个元素——对应。 因此△的子元可用一 个置换 π : {0, 1, ... , η- 1} → {0, 1, ... , η_ 1}来表示。 任何 一个辫元 b都存在唯一的一个标准表示形式： b = A^un_ln₂ -.. π _t, 其中 为 一个置换元。 b的几个长度定义如下： inf(b) = u, sup(b) = u +1 , 1(b) =1。

在一个辫群 Β_η中， 如果对于两个辨元 y Β_η, 存在一个辨元 a 6Β_η 使得: =a-^Jxa, 则称辨元 _y共轭， 记做 x~_y, 而辨元 "称作共轭对 (x, y) 的共轭元， 显然 "〜" 是一种等价关系。 辫群的基本共轭问题包括共轭判定问 题 CDP问题和共轭元搜索问题 CSP问题。 所谓 CDP问题就是指： 任意给出 辨元对（X, y) 6 Β_η χβ_η, 判断 χ ~； 是否成立。 根据群表示理论， 对于任 何群 总存在一个从 G到某一个环的同态， 该同态对共轭关系保持不变， 因此 CDP问题对于任何群在计算上总是可解决的。 在现有的基于辫群共轭问 题的签名体制中给出了一个算法可以在多项式时间内以任意高的概率解决 CDP问题。 所谓 问题就是指： 对于一个给定的共轭辨元对（X, y) ^B_n χΒ_η (χ ~ y), 找到一个辨元 Ω " ， k^y= 'xa. 对于辫群的来说， 目前 不存在一个有效的算法可以在多项式时间内解决 CSP问题， 因此对随机选取 的一共轭对 {x, y) 6 B_n xB_n , 他们的 CS 问题将以很高的概率为一个困难 问题。 而本文提出的数字签名方法的安全性是建立在 MCSP问题（匹配共轭 搜索问题） 的困难性上的， 在现有的基于辫群共轭问题的签名体制中证明了 MCSP问题与 CSP问题的困难等价性。 所谓 MCSP问题对他的描述如下： 已知： 辫群^的一个共轭对（：^ x ) B_n xB_n, 和一个辨元

问题： 找到一个 ζ Β_η满足: y ~ y' xy ~ χ' y' 以下通过附图对本发明所述的方法进行详细的说明：

所需公共参数： 辫群 , 左辫群 LB_m , 右辫群 RB_n-j-_m , 散列函数 ^ 其中， „的生成元为 at σ₂ …… ，左辫群 „_;为生成元 σι , σ₂ …… σ _m— i生成的 ^的子群，右辫群 ^^/^为生成元 a_m+1, o_m+2 ...... σ_η-1生成的

^的子群。

其公钥为一对 GSP问题为困难问题的共轭对（χ， χ' ) LB_m xB_n, 私钥为 a ζΒ_η, 满足 x' =a'^]xa;

签名方对消息 M签名的流程如图 1所示， 对于一个给定的消息 首 先使用散列函数 h计算得到 y=h(M),使用算法 PBG随机选取一个秘密随机辫 7 b eRB_n.i._m, 计算 b_yb , 计算消息 M的签名 w^zf ¾b— 输签名方》 将消息 M以及 M的签名 输出。

而对于一个攻击者来说， 他要想伪造一个消息 Μ的签名， 所能知道的只 包括公钥 (x, x ), ^y=h(M), 要想伪造的签名 ^满足 w 〜 _y、 x' sign(M)〜xy, 显然等价于解决 MGS 问题， 因此是不能做到的。

而对于可以截获分析的消息签名对（ .， b-^]ay _ta^Jb ), 由于加入了随机辫 元 b， 可以很好的避免^ GSP问题。 所谓^ GSP问题描述如下：

已知： 对共抚对 x/ ), , ( x_k, Xk ) € Β_η ^χΒ_η3-χ{ = ¹x_ia ( i=l■■■ k), 问题： 找到 b eB_n, 使得 x

(i=l， 2 ...... kX

其中， 为了安全的产生密钥， 先定义一些概念， 对于一个辫元 B_n(l ), 定义他的 super summit集

y ~x， inf(y)= Maxinf(x)， sup(y) = Mmsup(x) }。整个签名算法的安全强度为 | SSS(x) | ,约为 x , 定 义 χ、 ； 间 的距 d(x , y)=min{l(b)\y= b~^xab } , 然后再定义 s{x, d) = {y& SSS(x) I d(x, ≤ t}。 选取 x 'es(x, d), 则共抚对（ x '， x ) 的 CSP问题 为困难问题， 可以作为密钥。 具体地， 密钥生成的流程如图 2所示， 下面介绍 ^RSSBG(x, d)=( X , ^用以随机产生 xe x, d) L = α~^ιχα , 从而得到安全 公钥 {χ , χ)和私钥 也就是密钥生成的过程， 具体过程如下：

步骤 11、 选定系统参数辫群公钥对间的距离

步骤 12、 将辫元 X表示为标准形式

… ；

步骤 13、 随机选择一个辫元 b属于集合 (51); 步骤 14、 计算 x=b-W"=b;

步骤 15、 随机产生一个比特， 如为 1, 则计算 X

α- Ω Τ // 否则， 计算 x'=cycling(x), a= a r^u( π _})\

步驟 16、判断 x是否属于集合 以及 l(x')<d是否都成立，若都成立输 出 （χ,χ')为公钥， α为私钥； 若有一个不成立， 则执行步骤 15。

使用散列函数 /ζ计算得到 其流程如图 3所示：

对于一个从比特串 {0, 1}*到辫群 的散列函数 /2， 首先使用一个普通散 列函数将 {0, 1}*压缩得到固定长度的比特串 {0, 1}^N, $r N =l[lo_g2 ⁿ']。 然 后将 {0, 1}^N分为 /段 ||r₂|| … ||_Γι， 每一段的长度都为 由于 的置换 元有 个， 故可在置换元和整数集 间建立一个——映射， 再依次将 r_k转化为 [0， n!-1]间某一个整数，再将这个整数转化为与其相对应的置换元 ， 。

本发明对基于辫群共轭的数字签名的验证流程如图 ⁴所示， 包括以下步 骤：

步骤 20、签名验证方 接收签名方 S发送的信息 M以及 M的签名 Sign(M) 后， 获取 的公钥；

步骤 21、 利用系统参数散列函数 h对消息 M进行计算， 得到 y=h(M) 步骤 22、 判定 g M 与 是否共轭， 若不共轭， 则 ^不是一个合 法签名， 验证失败； 若共轭， 则执行步骤 23;

步驟 23、利用已获取的 S的公钥计算 Μ·^(¾)Λ；' ^xy,并判定二者是否共轭， 若不共轭， 则 Wg<M不是一个合法签名， 验证失败； 若共轭， 则^^ 为消 息 M的合法签名。

其中， 步骤 20中获取 S的公钥的方式为带外方式， 或者该公钥由签名方 S直接发送给验证方 V。

在所述步骤 22中判定 g«( J 与 _^是否共轭和步骤 23中判定 ^χ¾)χ' 和 是否共轭采用算法 BCDA。 该算法 BCDA如图 5所示：

任何一个非交换群， 都存在一个从群到一个环的函数， 该函数对于共轭 对的函数值相等，把该函数叫做特征。定义一个从 ^( )到 i^wrew多项式环 Z/ ί 的一个函数: g→det( (g) -I), 其中 B_n(l ), (g为 g的 Burau表示, I 为单位矩阵，

求行列式的符号， 显然该函数为 „( 的特征。 把 cfe

-/叫做辫元 g的亚历山大多项式， 记做 P 显然对于一个 B_n(l), 它的亚 历山大多项式 的秩 < l(n-l)n/2。 判断两个辫元 be B_n(l ) 是 否共轭， 做如下的亚历山大测试： 选定系统参数素数 p和正整数 r, 在有限域 上任意选取 r个不相等的值^ t₂ … t 若对于所有的,· 2 … 都 有 P_a(ti) -ΡιΑ), 则输出 1, 否则输出 0。 由于^ - V^ < l(n-l)n/2, 所以 方程 i- Ρ_ύ -0最多只有 Z -7 /2个根。 所以概率 Pr/P_aO P₆ |亚历山大 测试输出为 < 这个概率可以任意的小。 亚

历山大测试的计算复杂度为 6>( rn³).

Mxinf-Minsup测说。 对于辫元的 x iA U , Maxinf(x) = Max、inf(y)\ y ~ x, y fB_n(J )}, Minsup (x ) = Min{sup(y)\ y ~ x, y 6 B_n(l )}。 所谓

Maxinf-Minsup 试， 即对辫元 a, b B_n(l ) ,判

Maxinf(b) , Minsup (a) -Minsup ("b>>是否都成立， 若都成立， 则输出 1， 否则输出 0。 下面给 出计算 ra T 和 Mm^ c 的算法描述。 首先定义两个操作， ¾ =Δ^ιι _πι π₂ ··· π! , cycling (χ ) =( τ"(

。 对 χ 循环做 c_yc/zzg (^e^yc/^g *操作， 直到 值增加（ 值减少）， 然后以当前得 到的元素为新元素， 重复该循环操作， 且循环次数计数重新设置为 1; 若循环 次数计数直到 m=n(n- 7_；/2都 /值不再增加 M?值不再减少）， 则当前的元素的 值即为 m/Tx(分别 Mimup(x)。 该算法的理论分析请参看引文： J. S. Birman, K. H. Ko andS. J. Lee, The in.mum, supremum and geodesic length of a braid conjugacy class , to appear in Advances in Mathematics.。 该算法的算 法复杂度为 l²nlogn)。

如果辫元 a, b通过了亚历山大测试和 ∞'«/-Mzmp测试， 则可以判定 〜 b成立， 只有一种例外情况， 即 a〜b— ⁷。 然而这对于随机选择的 α 、 b来说， 是 几乎不可能出现的， 而对于攻击者同样不能利用这种例外情况， 分析见引文：

K. H. Ko, S.J. Lee, J. H. Cheon, J. W. Han, J. S. Rang and C. S. Park, New

Public-Key Crytosystem Using Braid Groups, Proc. of Crypto 2000， LNCS

1880, Springer-Verlag (2000) 166 183。

对于一个合法的签名 由于 ⁷b_yb a = (b a) 一¹ yb a， 故 sign(M) - _y成立； I¾JC' sign(M) = ^!xa a^]byb'^]a= c^xbyb—!a, ^^~x ^LB_m , b

bx γ ^!α = (b^a)'¹ (xy ib^a), 而 x' sign(M)〜xy。 因此一个合法的签名总是 可以通过险证的。

本发明还提供一种既包括签名方又包括验证方的数字签名及其验证方 法， 参见图 6， 为本发明基于辫群共轭的数字签名及其验证方法， 签名方对需 要签名的消息 M使用散列函数得到 = 2 B,,(l), 并产生密钥， 随机生成 一个辫元 b eRB_n.i-_m(l),签名方使用自己的私钥 α和产生的随机辫元 b对消息 M 签名得到 =a¹byb-^]a^, 将消息 以及 M的签名 5¾?2(¾)发送给验证方， 验证方通过散列函数2对消息 M进行计算得到 及密钥中的公钥验证签 名消息 M， 具体过程如下：

步骤 1、 签名方 S选择三个辫元 X x' B_n(l)， a e B_n(l), 使得他们 满 Ax， =d¹xa, 且已知 x和 x，要找到 Ω在计算上是不可行的， 并将辫元对 (x

X)作为 5*的公钥， 辫元 α作为 S的私钥；

步骤 2、 签名方 S对需要签名的消息 Μ使用散列函数2得到 y=z( e B_n(l) 步驟 3、随机生成一个辫元 b en 然后使用自己的私钥 和产生的 随机辫元 b对消息 M签名得到 5¾ M ^ 'byb^a;

步骤 4、 签名方 S将消息 M以及 M的签名

验证方 步骤 5、签名验证方 接收签名方 S发送的信息 M以及 M的签名 Sign(M) 后， 获取 的公钥;

步骤 6、 利用系统参数散列函数 z对消息 M进行计算， 得到

步骤 7、 判定 与 _y是否共轭， 若不共轭， 则 ^ΧΜ不是一个合 法签名， 验证失败； 若共轭， 则执行步骤 8;

步骤 8、 利用已获取的 S的公钥计算 和:^ , 并判定二者是否共轭， 若不共轭， 则 g M不是一个合法签名， 验证失败； 若共轭， 则 为消 息 M的合法签名。

由于辫群是无限群， 为了用计算机实现， 需要设置系统参数。 首先设定 系统参数"， I, d (推荐 1=3， d=4)。 -B_n(l ) = {b

0 <inf(b) , sup(b) <

I }, 贝'】| /)|< ".//为有限的。 同理^„( = {b LB_m\ 0<inf(b), sup(b) </ } ， RB_n.j._m(l ) = {b RB_n.,._m \ 0<inf(b), sup(b)≤l、。 对于一个辫元采用 目前已知在计算机上计算速度最快的 wraw表示， 即用一 Laurent 项式 、Z[t, 上的^ ^ X - ^阶矩阵来表示， 具体替换原则如下：

做如下的替换：

计算

复杂度为 0( ^, 有了以上表示， 与辫群内的群运算和求逆运算就转化为矩阵 的乘法和求逆运算， 他们都有着很有效的数学工具可以解决， 它们的计算复 杂度都为 0( ^。

本发明所述的方法可以用软件实现， 为了提高速度， 算法3 ¾4也可用硬 件实现， 其中， 选定系统参数公开： 辫群参数 I, (推荐《为 20 ~ 30间， 1=3, d=4, 为 2³¹ ~ 2³²间）， 以及左辫群大小 (推荐《- 为 4左右)； 选定用于 散列消息的散列函数 /z; 在签名方 S的处理过程如下：

密钥产生：

1、 使用算法 随机产生一个辫元 LB_m；

2、 使用算法^S G^, 得到公钥 (x'， x)和私钥 。- 签名过程如下： „

1、 对需要签名的消息 Μ应用散列函数 ζ得到 y=WM

2、 随机产生一个辫元 b, 然后计算

3、 使用私钥， 计算签名 Wg/i (^^ - ⁶^^。

险证方 的处理过程如下：

1、 对需要验证签名的消息 M应用散列函数？得到

2、 使用算法 ¾4判定《s¾72 (M) ~；;是否成立， 若不成立， 则验证失败， 结束； 若成立， 转步骤 3;

3、 计算 x 5f¾7z (M) ^x , 使用算法 C X4判定： c gw (M) ~ 是否成立， 若成立， 则验证通过， 结束， 否则验证失败， 结束。

最后应说明的是： 以上实施例仅用以说明本发明而并非限制本发明所描 述的技术方案； 因此， 尽管本说明书参照上述的各个实施例对本发明已进行 了详细的说明， 但是， 本领域的普通技术人员应当理解， 仍然可以对本发明 进行修改或者等同替换； 而一切不脱离本发明的精神和范围的技术方案及其 改进， 其均应涵盖在本发明的权利要求范围当中。

Claims

权利要求书

1、 一种基于辫群共轭的数字签名方法， 其特征在于， 该方法涉及到的参 数为： 签名方 （50, 签名验证方（ ), 需要签名的消息（Λί), 辫群生成元个 数 η，辫群左子群生成元个数 m,辫元长度上界 /,辫群^ (/), „(/)的左子群 Z^_ffl , Bn(l)的右子群 RBw O, 从比特串 {0， 1}*到辫群 的单向散列函数 所 述签名方法包括以下步骤：

步骤 1、 签名方（S)选择三个辫元 X / x， e B_n(l), α Β_η(1), 使得 他们满 A ' =a^]xa, 且已知 x和 JC'要找到 Ω在计算上是不可行的， 并将辫元对 (χ，， X)作为签名方 （< ) 的公钥， 辫元 乍为签名方（ 的私钥；

步骤 2、签名方 对需要签名的消息（Μ)使用散列函数 /2得到

B_n(l);

步骤 3、随机生成一个辫元 b 6 R5_w-7 -„ / ,然后使用自己的私钥 Ω和产生的 随机辫元 b对消息 （M)签名得到 S¾ M -a-W

步骤 4、 签名方 将消息（M) 以及消息 （JV ) 的签名 5¾<M输出。

2、 '根据权利要求 1所述的基于辫群共轭的数字签名方法， 其特征在于， 所述步驟 1中签名方（<S) 的公钥辫元对 (χ', X)及私钥辫元 α的生成具体包括以 下步骤：

步骤 la、 选定系统参数辫群公钥对间的距离 d

步骤 lb、 将辫元 X表示为标准形式

i 7T₂ ... π!;

步骤 lc、 随机选择一个辫元 b属于集合 „ (51)；

步骤 ld、 计算 x=b- ,a=b;

步骤 le、 随机产生一个比特， 若为 1， 则计算 x'

若不为 1， †^ =cycling(x ) , α= a T^u( π！)

步骤 lf、 判断 是否属于集合 以及 是否都成立， 若都成立输 出辫元对（χ,χ )作为公钥， 作为私钥； 若有一个不成立， 则执行步骤 le。

3、 根据权利要求 1所述的基于辫群共轭的数字签名方法， 其特征在于， 所述步骤 2中使用散列函数 /2得到 4 的过程包括以下步骤： 步骤 2a、选择一个普通散列函数^ 其输出 77(21^)长度为 N 然 后将/ / 一次等分为 段 ||R₂|| … HR/;

步骤 2b、 依次将^对应为置换辫元 然后计算/^ =AH 即 为所求的

4、 根据权利要求 1或 2或 3所述的基于辫群共轭的数字签名方法， 其特 征在于， 所述的辫群生成元个数《的取值为 20 ~ 30, 所述的辫元长度上界 的值为 /=3, d=4, 以及左子群大小" - =4。

5、 一种基于辫群共轭的数字签名的验证方法， 其特征在于， 包括以下步 骤：

步骤 1、签名验证方（ 接收签名方 发送的信息（M)以及信息（M) 的签名

获取签名方 的公钥；

步骤 2、 利用系统参数散列函数 对消息（M)进行计算， 得到；=/^M; 步骤 3、 判定 与 是否共轭, 若不共轭， 则 g<M不是一个合 法签名， 验证失败； 若共轭， 则执行步骤 4;

步驟 4、 利用已获取的 S的公钥计算 sign(M) X'和 并判定二者是否共 轭， 若不共轭， 则 不是一个合法签名， 验证失败； 若共轭， 则

为消息（M) 的合法签名。

6、 根据权利要求 5所述的对基于辫群共轭的数字签名的验证方法， 其特 征在于， 所述步骤 1中获取签名方 的公钥的方式为带外方式或接收由签 名方 （ ¹)发送的方式。

7、 根据权利要求 5所述的对基于辫群共轭的数字签名的验证方法， 其特 征在于， 所述步骤 3中判定 Wg M 与 是否共轭和步骤 4中判定 WgwfMJx' 和 ^是否共轭采用算法

8、 一种基于辫群共轭的数字签名及其验证方法， 其特征在于， 该方法涉 及到的参数为： 签名方 签名验证方（ ， 需要签名的消息（M), 辫群 生成元个数 辫群左子群生成元个数 辫元长度上界 /,辫群 的左 子群 ΣΒ,,, , β_η(ί)的右子群 RB^-JO, 从比特串 {0, 1}*到辫群 的单向散 列函数 h; 所述签名方法包括以下步骤：

步骤 1、 签名方（ 选择三个辫元 χ， 6 _η(/), α „(ί), 使得 他们满 AJC' = ^]xa, 且已知 和 x'要找到 G在计算上是不可行的， 并将辫元对 (X，， X)作为签名方 (S) 的公钥， 辫元 β作为签名方（S) 的私钥； 步骤 2、签名方 对需要签名的消息（Μ)使用散列

e B_n(l)\

步骤 3、随机生成一个辫元 b eRB_n.j-_m(l),然后使用自己的私钥 和产生的 随机辫元 b对消息 （M)签名得到 S^^M = ¹byb-¹a

步骤 4、 签名方（ 将消息（M) 以及消息 （M) 的签名 输出给 签名验证方 （ );

步驟 5、签名验证方（ y>接收签名方 发送的信息（Μ)以及消息（M) 的签名 Sign(M)后, 获取签名方 (S) 的公钥；

步驟 6、 利用系统参数散列函数 /2对消息（M)进行计算， 得到

步骤 7、 判定 g M 与；;是否共轭， 若不共轭， 则 sg7 M不是一个合 法签名， 验证失败； 若共轭， 则执行步骤 8;

步骤 8、 利用已获取的签名方 的公钥计算 ^ΧΜ x，和 ς , 并判定 二者是否共轭， 若不共轭， 则•sgwf 不是一个合法签名， 验证失败； 若共轭， 则 Wg<M为消息 （M) 的合法签名。

9、 根据权利要求 8所述的基于辫群共轭的数字签名及其验证方法， 其特 征在于， 所述步骤 1中签名方 (S) 的公钥辫元对 (x，， X)及私钥辫元 的生成包 括如下步骤：

步驟 la、 选定系统参数辫群公钥对间的距离 d',

步骤 lb、 将辫元 X表示为标准形式

TT₂… π/;

步骤 lc、 随机选择一个辫元 b属于集合 B_n (51);

步秫 ld、 计算 x=6- ';c6， =b;

步骤 le、 随机产生一个比特， 若为 1, 则计算 X

若不为 1, † x'=cycling(x) , α= a r^u( _});

步驟 lf、 判断 x是否属于集合 ^x以及 /(3c) <d是否都成立， 若都成立输 出 （χ, χ )作为公钥， "#为私钥； 若有一个不成立， 则执行步骤 le。

10、 根据权利要求 8 所述的基于辫群共轭的数字签名及其验证方法， 其 特征在于，所述步骤 2中使用散列函数 /?得到: f S„ (^的过程包括以下 步骤： 步骤 2a、选择一个普通散列函数 其输出 长度为

然 后将 i^M—次等分为 /段 R川 H ... HR /;

步驟 2b、 依次将 R对应为置换辫元 ·， 然后计算/ -Α1 *Α2〜Αί即 为所求的 h(M)。

1.1、 根据权利要求 8或 9或 10所述的基于辫群共轭的数字签名 其验证 方法， 其特征在于， 所述的辫群生成元个数"的取值为 20 ~ 30, 所述的辫 元长度上界的值为 1= , d=4, 以及左子群大小《- =4。

12、 根据权利要求 8所述的基于辫群共轭的数字签名及其验证方法， 其 特征在于， 所述步骤 7中判定 w'g M 与 _y是否共轭和步骤 8中判定 jc，和：^是否共轭采用算法 BCDA。