[发明专利]签名设备、检验设备、验证设备、加密设备及解密设备

权利要求书

1.一种签名设备，通过使用承诺来生成签名文本，

其中该承诺是包括待承诺的值的集合的哈希值，

将包括与离散对数问题关联的循环群的元素对的数据用作公钥，以及

将该对的阶的离散对数用作私钥。

2.如权利要求1所述的签名设备，包括：

承诺矢量选择装置，选择与第一承诺关联的承诺矢量；

第一承诺计算装置，计算第一承诺；

基本矢量计算装置，计算基本矢量；

第二承诺计算装置，计算幂剩余并生成第二承诺；

矢量挑战计算装置，计算矢量挑战；

矢量响应计算装置，通过使用第一承诺、用于计算幂剩余的集合、矢量挑战以及基本矢量来计算矢量响应；以及

存储单元，存储承诺矢量、第一承诺、基本矢量、第二承诺、矢量挑战和矢量响应，

其中基本矢量和矢量挑战是哈希值。

3.如权利要求2所述的签名设备，

其中承诺矢量选择装置选择多个承诺矢量，每个具有与所述承诺矢量相同的结构；

所述多个承诺矢量的每个分量和私钥满足以群的阶作为模数的关系式，以及

所述集合是通过使用承诺矢量选择装置所选择的数据的一部分、基本矢量和矢量挑战而计算的数据。

4.如权利要求3所述的签名设备，

其中承诺矢量的每个分量和私钥满足以群的阶作为模数的线性方程式，

第一承诺的输入是包括随机数的数据，

该数据的一部分由矢量挑战确定，以及

所述集合由该数据的所述一部分与基本矢量的线性方程式表示。

5.如权利要求4所述的签名设备，

其中承诺矢量包括两个分量，一个分量是通过将私钥加到另一分量并获得以群的阶作为模数的幂剩余而得到的值，

第一承诺的输入包括用于指定承诺矢量的每个分量的数据，以及

所述集合包括数据的所述一部分与基本矢量的内积。

6.如权利要求5所述的签名设备，

其中假设安全性参数为κ、N和v，且循环群的阶为q，

承诺矢量选择装置随机地选择剩余群X_{01}，...，X_{0N}∈(Z/qZ)，并将通过将x加到剩余群X_{0j}并获得以阶q作为模数的剩余而得到的值设置为X_{1j}，其中j＝1，...N，

对于i＝0，1的承诺矢量是Y_i＝(X_{i1}，...，X_{iN})，

第一承诺矢量计算装置随机地选择v比特的比特列r，

将包括公钥、X_{ij}、i、j、r的数据的哈希值设置为第一承诺C_{ij}，其中i＝0，1，

基本矢量计算装置将包括公钥和第一承诺C_{ij}的数据的哈希值设置为基本矢量V＝(u_1，...，u_N)，

第二承诺计算装置计算基本矢量V与Y_0的内积，并计算第二承诺G＝g^{X}，

矢量挑战计算装置计算包括公钥、{C_{ij}}、G、r和签名设备所接收的消息的数据的哈希值κ＝(c_1，...，c_N)，

矢量响应计算装置对所有的j＝1，...，N计算矢量响应ξ_{j}＝X_{c_jj}以及Ξ＝(ξ_1，...，ξ_κ)，以及

输出签名文本(r，{C_{ij}}，G，Ξ)。

7.如权利要求2所述的签名设备，包括：

其中承诺矢量选择装置选择多个承诺矢量，每个具有与所述承诺矢量相同的结构，以及

所述多个承诺矢量的每个分量和私钥满足关系式。

8.如权利要求7所述的签名设备，

其中所述关系式满足所述多个矢量的每一个与私钥的线性方程式，以及

第一承诺的输出是包括随机数的数据。

9.如权利要求8所述的签名设备，

其中所述多个承诺矢量包括多个分量，

一个分量是通过将私钥加到另一分量而获得的，以及

第一承诺的输入包括用于指定每个分量的数据和用于指定该分量的序数的数据。