[发明专利]署名生成装置、署名验证装置、它们的方法及程序

权利要求书

1.一种署名生成装置，包括： 

任意值生成单元，生成整数的任意值k； 

群运算单元，构成为计算将位数q的循环群设为G，并将该循环群G的生成源设为g的情况下的R=g^k∈G，以生成运算结果R； 

第1散列运算单元，构成为将对输入值输出L比特的散列值的散列函数H₁：{0，1}^*→{0，1｝^L，作用于依赖上述运算结果R和M比特的恢复消息m_rec∈{0，1｝^M的值α，以生成L比特的散列值h=H₁(α)∈{0，1｝^L，其中，L是与署名验证装置共享的正整数，上述值α是依赖上述恢复消息m_rec和上述运算结果R的散列值∏=H₀(R)的值； 

第2散列运算单元，构成为将输出比特长度根据上述恢复消息m_rec的比特长度M而决定为M比特的散列函数H₂：{0，1｝^*→{0，1｝^M，作用于依赖上述运算结果R和上述散列值h的值β，以生成M比特的散列值u=H₂(β)∈{0，1}^M，上述值β是依赖上述散列值∏和上述散列值h的值； 

r值运算单元，构成为计算依赖将上述散列值h∈{0，1｝^L配置在第1比特位置上，将异或值w∈{0，1}^M配置在第2比特位置上的L+M比特的比特结合值h|w∈{0，1｝^L+M的值r，该值r可复原上述散列值h和上述异或值w，其中，该异或值w是通过根据w=m_rec(+)u∈{0，1｝^M计算上述恢复消息m_rec和上述散列值u的异或而获得，其中(＋)是异或运算符； 

第3散列运算单元，构成为将对输入值输出整数的散列函数H₃：{0，1}^*→Z，作用于依赖上述值r的值γ，以生成散列值t=H₃(γ)∈Z，Z为整数，上述值γ是依赖上述值r和清零消息m_clr的值； 

整数运算单元，计算s=k-t·x∈Z，以生成运算结果s，其中x是整数的秘密密钥；以及 

署名输出单元，构成为输出署名σ=(r，s)。 

2.如权利要求1所述的署名生成装置，还包括： 

第4散列运算单元，构成为将输出比特长度根据上述恢复消息m_rec的比特长度M而决定为L+M比特的散列函数H₀：{0，1｝^*→{0，1｝^L+M，作用于上述运算结果R，以生成L+M比特的散列值∏=H₀(R)∈{0，1｝^L+M， 

值α是依赖上述散列值∏和恢复消息m_rec的值， 

值β是依赖上述散列值∏和上述散列值h的值， 

上述r值运算单元包括： 

比特结合单元，构成为计算将上述散列值h∈{0，1｝^L配置在第1比特位置上，将上述异或值w∈{0，1｝^M配置在第2比特位置上的L+M比特的比特结合值d＝h|w∈{0，1}^L+M；以及 

第2异或运算单元，构成为计算上述散列值∏和上述比特结合值d的异或r=∏(+)d∈{0，1}^L+M，以生成该值r。 

3.如权利要求1所述的署名生成装置，其中， 

上述r值运算单元包括： 

比特结合单元，构成为按照r=h|w∈{0，1｝^L+M计算将上述散列值h∈{0，1｝^L配置在第1比特位置上，将上述异或值w∈{0，1｝^M配置在第2比特位置上的L+M比特的比特结合，以生成该值r。 

4.如权利要求1至3的任一项所述的署名生成装置，其中，M≥1。