[发明专利]签名及验证方法、签名生成装置及签名验证装置

权利要求书

1.一种方法，将数据分割为多个并作为多维的向量来表现，以最短向量问题或者近似最短向量问题为安全性的根据，对对象数据签名并进行验证，其特征为，

包含：

取得步骤，取得对象数据；

变换步骤，利用比第1大小小的保密的干扰向量，对取得的对象数据进行变换，生成变换向量；

签名步骤，在将私钥向量确定为基底向量的网格上，求取与上述变换向量最接近的网格点，生成对于上述变换向量的签名向量，将上述签名向量的一部分作为签名数据；

验证步骤，使用公钥向量和上述签名数据，将上述签名向量复原，验证由上述对象数据得到的向量与复原后的上述签名向量之间的距离是否为比上述第1大小大的第2大小以下；以及

输出步骤，在是第2大小以下时，输出表示验证已成功的成功信息。

2.一种签名生成装置，将数据分割为多个并作为多维的向量来表现，以最短向量问题或者近似最短向量问题为安全性的根据，生成对于对象数据的签名数据，其特征为，

具备：

取得机构，取得对象数据；

保密存储机构，保密地存储有私钥向量；

数据变换机构，利用比第1大小小的保密的干扰向量，对取得的对象数据进行变换，生成变换向量；

签名生成机构，在将私钥向量确定为基底的网格上，求取与上述变换向量最接近的网格点，生成对于上述变换向量的签名向量，将上述签名向量的一部分作为签名数据；以及

输出机构，输出上述对象数据和生成的签名数据。

3.如权利要求2所述的签名生成装置，其特征为，

上述保密存储机构还存储有分布，该分布表示比上述第1大小小的多个备选向量所属的范围，

上述数据变换机构从属于由上述分布所示的范围的上述备选向量中，选择1个备选向量作为上述干扰向量。

4.如权利要求3所述的签名生成装置，其特征为，

上述保密存储机构具有防篡改性，上述私钥及上述分布被保密地保护以便不从外部被获知。

5.如权利要求4所述的签名生成装置，其特征为，

在上述保密存储机构中存储的上述分布所示的范围内，多个备选向量被进行了配置，以便被选择的概率不一样，

上述数据变换机构按照上述概率，选择1个上述备选数据作为上述干扰向量。

6.如权利要求4所述的签名生成装置，其特征为，

由上述分布所示的范围具有多个区域，对于各区域预先规定该区域的选择概率，在上述多个区域的各个中，配置多个备选向量，

上述数据变换机构根据上述选择概率来选择1个区域，从选择出的上述区域中选择1个上述备选向量作为上述干扰向量。

7.如权利要求4所述的签名生成装置，其特征为，

上述数据变换机构，包括：

向量生成部，从属于由上述分布所示的范围的上述备选向量中，选择1个备选向量作为上述干扰向量；以及

加法部，通过对基于上述对象数据的向量加上上述干扰向量，生成上述变换向量。

8.如权利要求7所述的签名生成装置，其特征为，

上述向量生成部通过从基于上述分布而预先选择出的多个备选向量中进行随机选择，生成上述干扰向量。

9.如权利要求4所述的签名生成装置，其特征为，

上述分布包含于以上述第1大小为半径的超球内。

10.如权利要求4所述的签名生成装置，其特征为，

上述签名生成装置还包括公开存储机构，该公开存储机构存储有比上述第1大小大的第2大小；

上述数据变换机构还计算由上述对象数据得到的向量和上述变换向量之间的距离，在计算出的距离不是上述第2大小以下时，利用比第1大小小的保密的其他的干扰向量，对取得的对象数据进行变换，生成其他的变换向量。

11.如权利要求4所述的签名生成装置，其特征为，

上述私钥向量对于作为定义了加法、减法、乘法和表示元的大小的范数的N维排列的集合的环R和正整数q，从上述环R的元f、g以及基于元Fq和(F，G)的上述元的4个组(f，g，F，G)获得，该元Fq是f(modq)的倒数，该(F，G)满足f×G-g×F＝q，

根据元h获得上述公钥向量，该元h对于上述正整数q来说，与上述元g及上述元Fq的积mod q同余。