[发明专利]密钥PV签名

说明书

相关申请的交叉引用

要求2011年3月18日递交的美国临时专利申请No.61/454,445的优先权，以此通过引用将其全部内容并入本文。

技术领域

以下涉及具有消息恢复的数字签名。

背景技术

公知数字签名是用于认证消息的计算机实现的技术。对签名的验证确认所签名的消息对应于接收到的消息。已经提出了很多数字签名方案，在这些已知的签名方案中有一类允许根据签名来部分或完整地恢复消息的签名。具体的高效数字签名方案已知是Pintsov-Vanstone签名，通常称为PV签名。

椭圆曲线Pintsov-Vanstone签名(ECPVS)方案向数字签名提供了部分消息恢复。在ANSI Draft X9.92-2007-02-2(Public Key Cryptography for the Financial Services Industry，Digital Signature Algorithms Giving Partial Message Recovery Part 1：Elliptic Curve Pintsov-Vanstone Signatures(ECPVS)，Accredited Standards Committee X9，Inc.，2007)和ISO/IEC 9796-3(ISO/IEC 9796-3：2006：Information technology-Security techniques-Digital signature schemes giving message recovery-Part 3：Discrete logarithm based mechanisms，2006)中提出了这种方案，通过引用将二者并入本文。

数字签名方案中的部分消息恢复降低了发送(消息，签名)对的带宽要求。这是通过将消息的一部分(可恢复部分)与签名值“并归”(而不增加签名的大小)并且不发送消息的该部分来进行的。如果签名是有效的，验证器恢复消息的可恢复部分。

附图说明

在参考附图的以下详细描述中，特征将变得更加显而易见，其中：

图1是数据通信系统的示意性表示。

图2是图1的系统中使用的密码单元的表示。

图3是示出第二通信方转换并向第三方传递第一通信方的密钥PV签名的流程图。

图4是示出非交互式证明和验证的流程图。

具体实施方式

原始的椭圆曲线Pintsov-Vanstone签名方案已被扩展为密钥Pintsov-Vanstone签名方案(密钥PV，或简称为kPV)。密钥PV是具有机密消息恢复的签名方案，其中，仅预期的接收者可以恢复部分消息。这与某些数字签名方案相反，在这些数字签名方案中，消息是公开的，并且在给出签名者的公钥的情况下，任何人都可以验证签名。

在共同拥有的美国专利No.7,249,259和No.7,877,610中描述了PV方案，通过引用将其并入本文。

可以使用椭圆曲线上的点群来例示PV签名方案(以及变型)。假设E(F_q)是在具有q个元素的有限域上的椭圆曲线E上的点的集合。每个点具有一对坐标，该坐标是底层有限域的元素，并满足椭圆曲线E。该集合形成基于被称为点附加的二元运算的组。通常，将该集合选择为具有大小l＝rn，其中，n是大的质数，以及余因子r是(相对)小的整数。秩n的子群的产生器被表示为G，以及所有的群算术都将在该子群中进行。为了方便而使用加法符号，例如，对于两个点P和Q的求和，我们写成P+Q，以及与整数k的标量乘法是kP。

可以使用任何有限abelian群来例示本文中的签名方案。例如，我们可以使用子群Zp，该群整数以质数p为模。在该情况下，群秩是p-1，以及产生器将再次产生秩为n的子群，其中，n|p-1。将要意识到的是，子群的大小以及n的原始状态(primality)是安全要求，而不是例示该方案所必需的，即，可以使用任何的子群来例示签名方案，但是这可能不安全。

通常，用乘法来写子群Zp中的算术，两个元素P和Q的乘积是PQ，以及对与k的标量乘法的模拟是指数的，并被表示为p^k。

根据密钥PV方案，将第一通信方向第二通信方发送的消息划分为隐藏并在验证期间恢复的第一部分，以及可见并需要作为验证算法的输入的第二部分。