[发明专利]一种基于格的数字签名方法

权利要求书

1.一种基于格的数字签名方法，其特征在于，包括以下步骤：

1)定义AMSIS数学困难问题，用于保证抗签名伪造的安全性；

2)定义AMLWE数学困难问题，用于保证抗私钥恢复的安全性；

3)基于所述AMSIS数学困难问题和所述AMLWE数学困难问题，提出基于格的数字签名方法，采用私钥签名消息，采用公钥验证签名的合法性；

所述AMSIS数学困难问题被定义如下：令是正整数，R_q是定义在上次数为n-1的多项式环，其中当n＝1时定义给定正整数随机矩阵和正实数满足β₁≠β₂，多项式环R_q上正规形、无穷范数AMSIS问题的目标是寻找非零向量使得‖x₁‖_∞≤β₁且‖x₂‖_∞≤β₂成立，其中其中，I_k表示k×k的单位矩阵；

所述AMLWE数学困难问题被定义如下：对于正整数正实数满足α₁≠α₂，给定随机的矩阵和向量计算性AMLWE数学困难问题的目标是给定样本输出秘密向量对于随机的矩阵和向量判定性AMLWE数学困难问题的目标是将样本(A,b＝As+e)和选自于上均匀分布的元组区分开；其中，对于正实数α∈{α₁,α₂}，定义χ_α表示以α为参数的噪音分布；对于正实数α∈{α₁,α₂}，表示多项式环R_q中系数根据分布χ_α取值的元素构成的集合；表示每个分量取自中的元素构成的l维向量集合；表示每个分量取自中的元素构成的k维向量集合；

所述基于格的数字签名方法由12个参数n,q,k,l,d,ω,η₁,η₂,β₁,β₂,γ₁,γ₂来实例化，其中，是正整数，是正整数；是正整数，是与AMLWE数学困难问题相关的两个参数；是正整数，是与AMSIS数学困难问题相关的两个参数；所述基于格的数字签名方法包括以下三个算法：

1)密钥生成算法KeyGen(1^κ)：输入安全参数κ，输出公钥pk和私钥sk；

2)签名算法Sign(sk,M)：输入私钥sk和消息M∈{0,1}^*，输出签名σ；

3)验证算法Verify(pk,M,σ)：输入公钥pk、消息M和签名σ，如果签名σ是在公钥pk下关于消息M的合法签名，输出1；否则输出0；

所述密钥生成算法KeyGen(1^κ)包括以下步骤：

1)随机选择ρ←{0,1}²⁵⁶,对于正整数定义S_α为多项式环R中每个系数都属于{q-α,...,q+α}的多项式组成的集合；对于正整数表示l个S_α的直积，即

2)计算(t₁,t₀):＝Power2Round_q(t,d)；是一个杂凑函数，用于生成一个矩阵A；H₁(ρ)表示根据输入种子ρ计算一个输出矩阵；Power2Round_q表示二次方幂取整函数；

3)计算tr:＝CRH(pk)∈{0,1}³⁸⁴，然后输出公钥pk＝(ρ,t₁)和私钥sk＝(ρ,tr,s₁,s₂,t₀)；CRH:{0,1}^*→{0,1}³⁸⁴表示抗碰撞杂凑函数；CRH(pk)表示输入公钥pk，输出相应的摘要；

所述签名算法Sign(sk,M)包括以下步骤：

1)给定私钥sk＝(ρ,tr,s₁,s₂,t₀)和消息M∈{0,1}^*，计算μ:＝CRH(tr||M)和矩阵A:＝H₁(ρ)；

2)随机选择计算和w₁:＝HighBits_q(w,2γ₂)；其中HighBits_q是取高位比特函数；

3)计算c:＝H(μ,w₁)，z:＝y+cs₁和u:＝w-cs₂；是一个杂凑函数，其中B₆₀表示环R_q中恰好有60个系数为-1或1，且其他系数均为0的元素构成的集合；H(μ,w₁)表示输入(μ,w₁)，输出B₆₀中的一个元素；

4)计算(r₁,r₀):＝Decompose_q(u,2γ₂)；其中Decompose_q是分解函数；

5)如果||z||_∞≥γ₁-β₁或||r₀||_∞≥γ₂-β₂或r₁≠w₁，返回第2)步重新开始；

6)计算v＝ct₀和h:＝MakeHint_q(-v,u+v,2γ₂)；其中MakeHint_q是生成提示函数；

7)如果||v||_∞≥γ₂或向量h中1的数量大于ω，返回第2)步重新开始；

8)输出签名σ:＝(z,h,c)；

所述验证算法Verify(pk,M,σ)包括以下步骤：

1)给定公钥pk＝(ρ,t₁)，消息M和签名σ＝(z,h,c)，计算矩阵A:＝H₁(ρ)，然后计算

μ:＝CRH(CRH(pk)||M)；

2)计算u:＝Az-ct₁·2^d，然后计算w₁′:＝UseHint_q(h,u,2γ₂)；其中UseHint_q是使用提示函数；

3)计算c′:＝H(μ,w₁′)；

4)如果||z||_∞γ₁-β₁且c＝c′且向量h中1的数量小于等于ω，输出1；否则输出0。