[发明专利]一种基于理想格的新型增量签名方法

说明书

本发明专利公开了一种基于理想格的新型增量签名方法，具体涉及格密码学的技术领域。一种基于理想格的新型增量签名方法，包括如下的步骤：系统参数初始化、并生成公私钥；是否存在标准签名方案生成的签名；获取标准签名下的原签名σ及对应的消息，对新消息μ通过增量方案生成对应的新签名σ′，对消息和生成的签名执行验证算法Verify(PK，μ，σ)，判断输出是否为1。采用本发明技术方案解决了传统计算机无法抵抗量子计算机攻击的问题，可用于在现有计算机中高效的加密签名。

技术领域

本发明涉及格密码学的技术领域，特别涉及一种基于理想格的新型增量签名方法。

背景技术

随着当下量子计算机的研制的迅速进展，量子算法亦是相应得以巨大突破。在量子计算模型下，经典数论假设的密码体系(如大整数分解，计算有限域/椭圆曲线上的离散对数问题等)，存在多项式时间(PPT)的量子算法，换而言之，经典数论密码体系受到了极大的冲击，将有可能成为旧时代的眼泪。因此，能够抵抗量子计算机攻击的密码——“后量子”或“抗量子”密码便应运而生，而格密码则是一类备受关注的抗量子计算攻击的公钥密码体制。

由于使用具有代数结构的格可以使密码学方案获得显著的效率提高，而且格上经典困难问题-误差学习问题(LWE)和小整数解问题(SIS)的强大和多样性，格密码学在过去几十年中得到了显著的发展，格上数字签名也成为近年来学术界关注的热点之一。从理论上讲，任何一个单向函数都可以用来构造数字签名，因此直接在Ajtai的开创性工作的基础上，衍生出了大量基于格上困难问题的数字签名方案。但是通用结构带来了严重的效率低下问题，格密码方案的参数通常包含几个维向量。如果使用一般的数字签名构造，它需要许多单向函数，这导致了在使用代数格时生成了需要存储空间的巨大数字签名。因此，在格困难问题的基础上寻找“短”的签名的实用构造，如由单个格向量构成的格签名，自格密码学出现以来就成为一个非常关键的问题。

理想格则是由格的理想构成的一类格。为了方便介绍理想格，我们从两个常见的格上困难问题，即LWE问题和SIS问题切入。LWE问题的一个实例是由一个随机n×m的整数矩阵A和一个向量b定义的，满足b＝A^Ts+e mod q，其中s为一个秘密向量，e为一个小噪声向量，困难问题是寻找这个向量s。作为LWE的一个“对偶”问题，SIS问题的一个实例是由相同的随机矩阵A定义的，其要求寻找一个短向量x使得Ax＝0 mod q。Ring-LWE和Ring-SIS分别是LWE和SIS的“环”上版本，分别是针对某些结构化矩阵A定义的LWE和SIS的具体实例，矩阵A详细的介绍如下所述：

在理想格或所谓的“环设置”中，上面的矩阵A需要有一些额外的代数结构。一个常用的例子是将A的每一列解释为(n-1)次多项式p(x)的系数，并且要求在A的某些列中也包含xp(x)mod(xⁿ+1))。在这种情况下，A的矩阵乘法等价于多项式乘法。因此，我们可以把每个向量v看作环中的一个元素v，以及A的每个n×n的子矩阵视为上的一个环元素a_i。

由于理想格的代数结构，基于理想格的密码体制(安全性基于Ring-LWE或Ring-SIS困难性假设)比一般格中的密码体制更有效，表现在：

1.由于每个n×n子矩阵现在被表示为一个环元素，因此一些原本是矩阵的参数的大小被减小了一个因子n；

2.中环元素的乘法可以通过FFT(快速傅立叶变换)在硬件上实现。

因此，理想格的使用是构建格上高效密码学方案的重要途径。