[发明专利]一种基于格的数字签名方法

说明书

本发明涉及一种基于格的数字签名方法，旨在基于格上数学困难问题设计高效抗量子安全的数字签名方法。具体地，本发明首先提出了一类非对称模小整数解(AMSIS)数学困难问题，也提供了该类数学困难问题的变种和一般化。通过基于AMSIS数学困难问题以及模带错误学习(MLWE)数学困难问题的非对称变形，本发明提出了一种格上数字签名方法，具有安全性高、可证明安全、抵抗量子计算机攻击、公私钥和签名长度短、计算效率高、参数选取灵活等特点和优势。

技术领域

本发明属于密码学中的数字签名领域，涉及使用格密码学中的相关技术，具体涉及一种基于格的数字签名方法，能抵抗量子计算机攻击。

背景技术

数字签名已在许多实际应用中被广泛部署。根据Shor算法，当量子计算机出现的时候，已部署的基于RSA或椭圆曲线的数字签名方法将不再安全。量子计算机的快速发展促使我们设计抗量子安全的数字签名方法。当前，主流的抗量子安全数字签名方法是基于格、多变量、编码或者杂凑函数等设计。从效率和安全性综合来看，基于格的数字签名方法是最有前途的抗量子签名方法，并得到了国内外学者的广泛研究。在数学中，格是一种离散的加法子群。由于特殊的代数结构，格上有很多难以求解的困难问题，例如最短向量问题。基于格的数字签名方法是指基于格上数学困难问题设计的数字签名方法，具有抵抗量子计算机攻击的能力。

绝大部分公钥密码方案的设计和安全性建立在数学困难问题之上。当前，格上公钥密码系统的安全性大多是建立在Ajtai提出的小整数解问题(Small IntegerSolutions，SIS)和Regev提出的带错误学习问题(Learning with Errors，LWE)的困难性之上。简单来说，小整数解问题和带错误的学习问题都与求解模整数方程有关系。令为正整数，为正实数，是以α为参数的噪音分布(通常为高斯分布，或与其相近的二项分布)。无穷范数的小整数解问题目标是给定矩阵计算非零向量使其满足Ax＝0mod q并且||x||_∞≤β；对应的计算性带错误的学习问题LWE_n,m,q,α目标是对于随机选择的矩阵向量以及噪音向量给定样本求解秘密向量判定性LWE问题是区分(A,b＝As+e)和上均匀随机的元组。在一定参数下，判定性LWE问题和计算性LWE问题在多项式时间意义下是等价的。此外，SIS问题和LWE问题在一定意义上互为对偶问题。

虽然SIS问题和LWE问题看起来比较简单，但在特定参数下求解这两个问题在平均情况下的复杂度都比求解格上某些问题(例如，最短向量问题)在最坏情况下的复杂度还高。这种平均困难性到最坏困难性的联系特性实际上是基于格上困难问题的密码方案相对于基于其他困难问题的密码方案独有的优势之一。由于目前已知的格上困难问题的量子求解算法与传统经典求解算法相比在计算复杂度上并没有本质的降低，以至于大多数国内外研究学者都倾向于相信格上问题是困难的，以及基于格上困难问题设计的密码系统能够抵抗量子计算机攻击。此外，当秘密向量s并不是随机均匀地选自于时，相应LWE的变种问题(称之为正规形LWE问题)也是困难的。特别地，当秘密向量与噪音向量e选自于相同的分布时，正规形LWE问题和标准的LWE问题在多项式时间的意义上是等价的。由于正规形LWE问题能够更好地控制噪音增长，因此在文献中被广泛用于设计加密方案。