[发明专利]一种基于格的数字签名方法

说明书

本发明公开了一种基于格的数字签名方法，其步骤包括：1)选取环R_q中两个小系数多项式f和g,且f在R_q中可逆；计算h＝(g+α)·f^‑1，将h作为公钥公开，将(f,g)作为私钥；2)签名者生成3)计算w＝h·r；若w中的一分量w_i，使得w_i＝＝q‑1‑α/2成立，则返回2)；4)计算和a＝v₀‑(Q_α(w)mod2)；5)计算u＝r+a·f；若||a·f||_∞>γ、或者||a·g||_∞>γ、或者或者则返回2)重新生成签名；否则输出签名u。本发明设计简洁，易于实现，效率高。

技术领域

本发明属于信息安全技术领域，具体涉及一种基于格的高效数字签名方法。

背景技术

数字签名是公钥密码体制的基础原件之一，被广泛应用于身份认证，数据完整性检测，防抵赖等场景，在公钥密码学中占据着十分重要的地位。然而由于整数分解和离散对数问题被证明在量子计算机下可以有效求解，因此基于上述困难问题的传统数字签名体制在量子计算机下是不安全的，构造能够地抗量子攻击的数字签名体制已经成为密码学界和工业界的迫切需求。

基于格的数字签名体制被广泛认为能够抵抗量子计算机的攻击，因此备受关注，而NTRU签名体制是其中一类高效的签名方案，其所基于的数学问题一般是NTRU格上的最短向量问题。NTRU格是NTRU签名体制中最为核心的部件之一。在美国国家标准与技术研究院征集后量子密码标准算法的首轮候选方案中，基于NTRU的签名体制主要有pqNTRUsign和Falcon。

发明内容

与之前的NTRU签名方案将安全性基于NTRU格上的最短向量问题不同，本发明提供一种基于NTRU格上最近向量问题的高效数字签名方法，在保证高效的同时，参数选取更为灵活。

本发明涉及剩余类环Z_m，当正整数m为偶数时，我们选取作为Z_m的代表元；当正整数m为奇数时，我们选取作为Z_m的代表元。

给定n次整系数多项式F(x)和正整数q，记环R_q＝Z_q[x]/(F(x))。对环R_q中的任意多项式s，我们既可以将其表示为也可以将其表示为n维向量(s₀,s₁,…,s_n-1),s_i∈Z_q。类似地，对n维向量(s₀,s₁,…,s_n-1)来说，我们同样可以将其看作是多项式换言之，多项式表示和向量表示是等价的。我们用“·”表示环R_q上的乘法运算，用“+”表示环R_q上的加法运算。

本发明数字签名实现方法的具体方案如下：

一种基于格的数字签名方法，包括以下步骤：

步骤1.1:选择公开参数(n,q,γ,α,β)及环R_q；选择正整数n,q,α，β，γ，其中选择n次整系数多项式F(x)，并令环R_q＝Z_q[x]/(F(x))。

步骤1.2：密钥生成算法按如下步骤进行：

步骤1.2.1:选取多项式环R_q中两个小系数多项式f和g,且f在R_q中可逆,其逆记为f^-1。

步骤1.2.2:计算h＝(g+α)·f^-1，将h作为签名者的公钥公开，将(f,g)作为签名者的私钥。

步骤1.3：签名算法按照如下步骤进行：