[发明专利]基于格上困难问题的数字签名方法

说明书

本发明公开了一种基于格上困难问题的数字签名方法，主要解决现有技术签名效率较低的问题，并在提高效率的前提下减少签名长度。其实现步骤为：1.签名实体先根据安全需求生成参数系统；再根据密钥生成方法，利用参数系统生成签名私钥和验证公钥；2.签名实体利用验证公钥预先产生签名过程中所需要的随机数值和部分签名值；3.签名实体使用签名私钥对消息进行签名，并输出符合要求的签名消息；4.验证方利用验证公钥验证签名消息的有效性。本发明在相同的安全级别下提升了签名生成效率，减少了签名长度，可用于保证信息传送的完整性，信息发送者的身份认证以及防止交易抵赖的发生。

技术领域

本发明属于信息安全技术领域，具体涉及一种数字签名方法，可用于保证信息传送的完整性，信息发送者的身份认证以及防止交易抵赖的发生。

背景技术

在量子计算机模型问世后，量子算法将传统密码算法的时间复杂度由Ω(n)降低为O(n)，这使得传统基于数论理论构造的密码方案不再安全，而基于格构造的密码方案具有公认的抗量子特性，并且几乎所有的传统密码学原语都可以在格上实现，因此格理论以及格密码的构造和应用被密码学技术领域人员广泛研究。

数字签名又称为公钥数字签名，如同物理签名，数字签名是信息发送方确保接收方能验证信息真实性的一段数字串，使用私钥签名，公钥验证。随着格理论的不断发展，出现了许多不同类型的格签名方案，但大体分为两种类型，第一种为基于格上的陷门构造的数字签名方法，第二种为在不使用陷门的前提下构造格上签名的方法。

对于第一种类型，Gentry等人于2008年提出了第一个可证明安全的构造格上数字签名的方法，该方法使用了格上陷门来构造验证公钥和签名私钥，并在签名的过程中使用球面离散高斯采样，尽管拥有良好的安全性，但安全性的保证来自于在签名过程中使用球面离散高斯采样技术，这使得该类方法有着一个共同的缺点，签名效率较低。

对比上述类型的数字签名方法，在实现上更有优势的应该是接下来要提到的第二种类型，2014年，Bai和Galbraith提出了一种基于Fiat-Shamir转换构造的格签名方法，后来该类型方法又由Alkim等人以TESLA的名称进行研究。尽管这一类方案在硬件实现时有相当高的效率，但是同样也存在着一些缺点。第一，已有的该类型的方法都在密钥生成和签名过程中使用了离散高斯采样；第二，为了确保签名私钥的安全，都使用了拒绝采样方法，这使得签名的输出概率不再是百分百，而是仅有大约1/3且上限被限制在3/4，这些因素都对签名的效率产生了影响。

发明内容

本发明的目的是针对上述现有技术的不足，提出一种基于格上困难问题的数字签名方法，以提升签名生成的效率，并在相同的安全级别下明减小签名长度。

为实现上述目的，本发明的技术方案包括以下步骤：

(1)签名实体根据自己的安全需求生成参数系统，其中包括：第一个素数p＝2、第二个大于p的素数q、一个素数n满足2ⁿ-1为梅森素数、一个将任意长度二进制串哈希到n比特长度二进制串的哈希函数Hash、一个模xⁿ-1的一元多项式整系数环一个n阶二进制多项式集合{0,1}ⁿ和一个大于等于0且小于q的整数集合定义多项式乘法为环R_q上的乘法；

(2)生成签名私钥和验证公钥：

签名实体生成一个多项式作为第一个公钥a，a∈R_q，满足多项式a的所有系数和为q的倍数以及多项式asp(mod q)的所有系数之和等于q，再产生一个二进制多项式作为验证私钥s，s∈{0,1}ⁿ，并利用第一个公钥a和验证私钥s产生第二个公钥：将(t,a)和s分别作为签名实体的验证公钥和签名私钥，其中，符号表示对符号内多项式的每个系数向下取整，(mod p)表示将向量中的每个元素模p；

(3)产生消息m的签名Sig，并进行验证：