專利名稱:認(rèn)證設(shè)備�����、認(rèn)證方法、程序和簽名生成設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及認(rèn)證設(shè)備����、認(rèn)證方法、程序和簽名生成設(shè)備�。
背景技術(shù):
隨著信息處理技術(shù)和通信技術(shù)的快速發(fā)展,公務(wù)和私人文檔的數(shù)字化正在快速推進(jìn)���。因此����,許多個(gè)人和公司對(duì)電子文檔的安全管理非常感興趣��。隨著興趣的增加���,在許多場合已開始熱烈地討論針對(duì)電子文檔的諸如竊聽和偽造之類的篡改的安全性��。例如通過對(duì)電子文檔加密來確保針對(duì)電子文檔的竊聽的安全性���。此外,例如通過利用數(shù)字簽名來確保針對(duì)電子文檔的偽造的安全性��。然而�����,加密和數(shù)字簽名必須是能充分地防篡改的。數(shù)字簽名用來指定電子文檔的作者�����。因此�,數(shù)字簽名應(yīng)當(dāng)能夠僅由該電子文檔的作者來生成��。如果惡意第三方能夠生成相同的數(shù)字簽名�����,則這樣的第三方可以冒充電子文檔的作者�。即,電子文檔會(huì)被惡意第三方偽造���。對(duì)于防止這樣的偽造的數(shù)字簽名安全性����,已經(jīng)提出了各種意見��。作為當(dāng)前廣泛使用的數(shù)字簽名方案�����,例如已知了使用RSA簽名方案和 DSA簽名方案的方案。RSA簽名方案取用“對(duì)大的合成數(shù)進(jìn)行質(zhì)因數(shù)分解的難度(以下稱為質(zhì)因數(shù)分解問題)”作為安全性的基礎(chǔ)����。此外,DSA簽名方案取用“求解離散對(duì)數(shù)問題的難度”作為安全性的基礎(chǔ)�。這些基礎(chǔ)是基于通過利用典型計(jì)算機(jī)來高效地求解質(zhì)因數(shù)問題和離散對(duì)數(shù)問題的算法并不存在。即��,上面提到的難度意味著典型計(jì)算機(jī)的計(jì)算難度����。然而,據(jù)說��,當(dāng)使用量子計(jì)算機(jī)時(shí)��,可以高效地計(jì)算出質(zhì)因數(shù)分解問題和離散對(duì)數(shù)問題的解�����。與RSA簽名方案和DSA簽名方案類似地����,當(dāng)前使用的許多數(shù)字簽名方案和公鑰認(rèn)證方案也取用了質(zhì)因數(shù)分解問題或離散對(duì)數(shù)問題的難度作為安全性的基礎(chǔ)�。因此��,如果量子計(jì)算機(jī)投入實(shí)用��,則將不再確保這些數(shù)字簽名方案和公鑰認(rèn)證方案的安全性�����。因此�,希望具有新的數(shù)字簽名方案和公鑰認(rèn)證方案���,其采用與諸如可被量子計(jì)算機(jī)容易求解出的質(zhì)因數(shù)分解問題和離散對(duì)數(shù)問題之類的問題不同的問題作為安全性的基礎(chǔ)���。作為不容易被量子計(jì)算機(jī)求解出的問題,例如��,在求解多元多項(xiàng)式上存在難度(以下稱為多元多項(xiàng)式問題)���。例如�,作為采用多元多項(xiàng)式問題作為安全性基礎(chǔ)的數(shù)字簽名方案�����,已知了基于 Matsumoto-Imai (MI)密碼術(shù)、Hidden Field Equation (HFE)密碼術(shù)���、Oil-Vinegar(OV)簽名方案以及Tamed Transformation法(TTM)密碼術(shù)的這些方案����。例如�����,基于HFE的數(shù)字簽名方案在 Jacques Patarin 的 Asymmetric Cryptography with a Hidden Monomial, CRYPTO 1996��,pp. 45-60 以及 Patarin����,J.,Courtois, N.和 Goubin�����,L.的 QUARTZ����,128-Bit Long Digital Signatures,In Naccache,D. ,Ed. Topics in Cryptology-CT-RSA 2001 (San Francisco, CA, USA, April 2001), vol.2020 of Lecture Notes in Computer Science, Springer-Verlag, pp. 282-297 中被公開。
發(fā)明內(nèi)容
如上,多元多項(xiàng)式問題是稱為NP難題的����、即使利用量子計(jì)算機(jī)也難以求解出的問題的示例。通常���,利用由HFE代表的多元多項(xiàng)式問題的公鑰認(rèn)證方案使用具有特殊陷門(trapdoor)的多次多元聯(lián)立方程式�。例如����,與X1,…,ι有關(guān)的多次多元聯(lián)立方程式 F(X1,…�,xn) = y以及線性變換A和B被提供�,并且線性變換A和B秘密地被管理。在此情況中�,多次多元聯(lián)立方程式F以及線性變換A和B是陷門。知道陷門F�����、A和B的實(shí)體可以求解與X1,…�����,ι有關(guān)的方程式B (F(A(Xl,-,Xn))) = y’��。另一方面���,與X1,…���,ι有關(guān)的方程式B(F(A(Xl,-,Xn))) =y’不能由不知道陷門 F��、A和B的實(shí)體求解出��。通過利用該機(jī)制���,可以實(shí)現(xiàn)采用多次多元聯(lián)立方程式作為安全性基礎(chǔ)的公鑰認(rèn)證方案和數(shù)字簽名方案���。如上,為了實(shí)現(xiàn)這樣的公鑰認(rèn)證方案和數(shù)字簽名方案����,需要使用滿足 B(F(A(Xl,-,xn))) = y的特殊多次多元聯(lián)立方程式��。然而�,根據(jù)現(xiàn)有方案,需要在簽名生成時(shí)求解多次多元聯(lián)立方程式F,因此僅那些可被容易求解出的方程式可被用作F�。S卩,根據(jù)這些現(xiàn)有方案����,僅可以使用通過組合可以較容易地求解出的三個(gè)函數(shù)(陷門)B、F和A而形成的多次多元聯(lián)立方程式B(F(A(Xl��,-,xn))) =y����,因此難以確保足夠的安全性。結(jié)果���, 對(duì)于使用存在高效求解手段(陷門)的多次多元聯(lián)立方程式的公鑰認(rèn)證方案和數(shù)字簽名方案����,提出了大量的攻擊方法����,因此希望設(shè)法使得沒有高效求解手段(陷門)的多次多元聯(lián)立方程式被用于公鑰認(rèn)證方案和數(shù)字簽名方案��。鑒于前面的狀況��,希望提供能夠?qū)崿F(xiàn)通過利用沒有高效求解手段(陷門)的多次多元聯(lián)立方程式而增強(qiáng)其安全性的公鑰認(rèn)證方案或數(shù)字簽名方案的、新穎的經(jīng)改進(jìn)的認(rèn)證設(shè)備���、認(rèn)證方法�����、程序和簽名生成設(shè)備���。根據(jù)本發(fā)明的一個(gè)實(shí)施例,提供了一種認(rèn)證設(shè)備�,該設(shè)備包括密鑰設(shè)置單元,用于將S e Kn設(shè)置為私鑰并且將環(huán)K上的多次多項(xiàng)式fi(Xl���,-,Xn)以及yi = fi(s)設(shè)置為公鑰���,i = 1至m ;消息發(fā)送單元����,用于將消息c發(fā)送給驗(yàn)證者;驗(yàn)證模式接收單元�,用于接收關(guān)于驗(yàn)證者從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式的信息,k > 3 �����;響應(yīng)發(fā)送單元,用于向驗(yàn)證者發(fā)送k種響應(yīng)信息中的與由驗(yàn)證模式接收單元接收到的驗(yàn)證模式有關(guān)的信息所對(duì)應(yīng)的響應(yīng)信息����。響應(yīng)信息是這樣的信息,該信息使得在通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都成功的情況中能夠計(jì)算出私鑰S���。該認(rèn)證設(shè)備可被配置為使得在執(zhí)行以下步驟時(shí)由消息發(fā)送單元發(fā)送一個(gè)或多個(gè)消息c的第一步���、由驗(yàn)證模式接收單元針對(duì)每個(gè)消息c從驗(yàn)證者接收與驗(yàn)證模式有關(guān)的信息的第二步、以及由響應(yīng)發(fā)送單元針對(duì)與驗(yàn)證模式有關(guān)的每個(gè)信息發(fā)送響應(yīng)信息的第三步�,如果驗(yàn)證者針對(duì)所有響應(yīng)信息成功地執(zhí)行了驗(yàn)證,則認(rèn)證成功���。該認(rèn)證設(shè)備可被配置為使得執(zhí)行以下步驟的處理被重復(fù)由消息發(fā)送單元發(fā)送一個(gè)或多個(gè)消息c的第一步�����、由驗(yàn)證模式接收單元針對(duì)每個(gè)消息c從驗(yàn)證者接收與驗(yàn)證模式有關(guān)的信息的第二步、以及由響應(yīng)發(fā)送單元針對(duì)與驗(yàn)證模式有關(guān)的每個(gè)信息來發(fā)送響應(yīng)信息的第三步�����,并且當(dāng)執(zhí)行了第一步至第三步預(yù)定次數(shù)時(shí),如果驗(yàn)證者針對(duì)所有響應(yīng)信息每次都成功地執(zhí)行了驗(yàn)證��,則認(rèn)證成功���。在消息c = (C1,…�,cm)的情況中�,消息發(fā)送單元可以通過利用單向函數(shù)H來計(jì)算新的消息c’ = H(C),并且將消息C’發(fā)送給驗(yàn)證者�����,并且響應(yīng)發(fā)送單元可以將驗(yàn)證者即使利用響應(yīng)信息也不能恢復(fù)出來的消息c的元素與響應(yīng)信息一起發(fā)送����。根據(jù)本發(fā)明另一實(shí)施例,提供了一種認(rèn)證設(shè)備���,包括消息接收單元�,用于從證明者接收消息c ����;驗(yàn)證模式選擇單元,用于從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇一個(gè)驗(yàn)證模式�����,k ^ 3 ;驗(yàn)證模式發(fā)送單元���,用于將與驗(yàn)證模式選擇單元所選擇的驗(yàn)證模式有關(guān)的信息發(fā)送給證明者���;響應(yīng)接收單元,用于從證明者接收k種響應(yīng)信息中的與由驗(yàn)證模式發(fā)送單元所發(fā)送的驗(yàn)證模式有關(guān)的信息所對(duì)應(yīng)的響應(yīng)信息��;以及驗(yàn)證單元���,用于利用由消息接收單元接收的消息c以及由響應(yīng)接收單元接收的響應(yīng)信息來驗(yàn)證證明者的合法性����。s e Kn 被設(shè)置為私鑰并且環(huán)K上的多次多項(xiàng)式fi(Xl�����,…�����,xn)以及yi = fi(s)被設(shè)置為公鑰����,i = 1至m。響應(yīng)信息是這樣的信息����,該信息使得在通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都成功的情況中能夠計(jì)算出私鑰S。根據(jù)本發(fā)明另一實(shí)施例���,提供了一種認(rèn)證設(shè)備����,包括密鑰設(shè)置單元�����,用于將 S e Kn設(shè)置為私鑰并且將環(huán)K上的多次多項(xiàng)式fi(Xl�����,-,xn)以及yi = fi(s)設(shè)置為公鑰���, i = 1至m �;消息發(fā)送單元��,用于將消息c發(fā)送給驗(yàn)證者;答復(fù)接收單元����,用于從驗(yàn)證者接收答復(fù)α ;多項(xiàng)式生成單元���,用于利用答復(fù)接收單元所接收的答復(fù)α來生成將用于驗(yàn)證消息 c的多項(xiàng)式f”;多項(xiàng)式發(fā)送單元�,用于將由多項(xiàng)式生成單元生成的多項(xiàng)式f”發(fā)送給驗(yàn)證者�; 驗(yàn)證模式接收單元,用于接收與驗(yàn)證者從針對(duì)一個(gè)消息C的k個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式有關(guān)的信息�,2 ;響應(yīng)發(fā)送單元���,用于向驗(yàn)證者發(fā)送k種響應(yīng)信息中的與由驗(yàn)證模式接收單元接收到的驗(yàn)證模式有關(guān)的信息所對(duì)應(yīng)的響應(yīng)信息����。響應(yīng)信息是這樣的信息��,該信息使得在通過利用兩種答復(fù)α�、多項(xiàng)式f”以及k種響應(yīng)信息執(zhí)行的針對(duì)消息c的答復(fù)與驗(yàn)證模式的所有總計(jì)業(yè)種組合都成功的情況中,能夠計(jì)算出私鑰S����。該認(rèn)證設(shè)備可被配置為使得在執(zhí)行以下步驟時(shí)由消息發(fā)送單元發(fā)送一個(gè)或多個(gè)消息c的第一步�、由答復(fù)接收單元接收針對(duì)每個(gè)消息c的答復(fù)α的第二步�����、由多項(xiàng)式生成單元利用在第二步中接收的答復(fù)α來生成多項(xiàng)式并且由多項(xiàng)式發(fā)送單元發(fā)送多項(xiàng)式f” 的第三步����,由驗(yàn)證模式接收單元針對(duì)每個(gè)消息c從驗(yàn)證者接收與驗(yàn)證模式有關(guān)的信息的第四步���、以及由響應(yīng)發(fā)送單元針對(duì)與驗(yàn)證模式有關(guān)的每個(gè)信息來發(fā)送響應(yīng)信息的第五步��,如果驗(yàn)證者針對(duì)所有響應(yīng)信息成功地執(zhí)行了驗(yàn)證���,則認(rèn)證成功。該認(rèn)證設(shè)備可被配置為使得執(zhí)行以下步驟的處理被重復(fù)由消息發(fā)送單元發(fā)送一個(gè)或多個(gè)消息c的第一步��、由答復(fù)接收單元接收針對(duì)每個(gè)消息c的答復(fù)α的第二步����、由多項(xiàng)式生成單元利用在第二步中接收的答復(fù)α來生成多項(xiàng)式并且由多項(xiàng)式發(fā)送單元發(fā)送多項(xiàng)式f”的第三步,由驗(yàn)證模式接收單元針對(duì)每個(gè)消息c從驗(yàn)證者接收與驗(yàn)證模式有關(guān)的信息的第四步���、以及由響應(yīng)發(fā)送單元針對(duì)與驗(yàn)證模式有關(guān)的每個(gè)信息來發(fā)送響應(yīng)信息的第五步�,并且當(dāng)執(zhí)行了第一步至第五步預(yù)定次數(shù)時(shí),如果驗(yàn)證者針對(duì)所有響應(yīng)信息每次都成功地執(zhí)行了驗(yàn)證��,則認(rèn)證成功��。根據(jù)本發(fā)明另一實(shí)施例����,提供了一種認(rèn)證設(shè)備,包括消息接收單元���,用于從證明者接收消息c;答復(fù)發(fā)送單元����,用于向證明者發(fā)送答復(fù)α �;多項(xiàng)式接收單元,用于接收多項(xiàng)式f”��,多項(xiàng)式f”是由證明者利用由答復(fù)發(fā)送單元發(fā)送的答復(fù)α生成的并被用于驗(yàn)證消息 c ����;驗(yàn)證模式選擇單元,用于從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇一個(gè)驗(yàn)證模式�,k > 2 �����; 驗(yàn)證模式發(fā)送單元��,用于將與驗(yàn)證模式選擇單元所選擇的驗(yàn)證模式有關(guān)的信息發(fā)送給證明者���;響應(yīng)接收單元,用于從證明者接收k種響應(yīng)信息中的與由驗(yàn)證模式發(fā)送單元所發(fā)送的驗(yàn)證模式有關(guān)的信息所對(duì)應(yīng)的響應(yīng)信息�;以及驗(yàn)證單元����,用于利用由消息接收單元接收的消息c、由多項(xiàng)式接收單元接收的多項(xiàng)式f”以及由響應(yīng)接收單元接收的響應(yīng)信息來驗(yàn)證證明者的合法性���。S e Kn被設(shè)置為私鑰并且環(huán)K上的多次多項(xiàng)式fi(Xl���,…,xn)以及Yi = fi(s)被設(shè)置為公鑰��,i = 1至m���。響應(yīng)信息是這樣的信息�����,該信息使得在通過利用兩種答復(fù) α��、多項(xiàng)式f”以及k種響應(yīng)信息執(zhí)行的針對(duì)消息c的答復(fù)與驗(yàn)證模式的所有總計(jì)業(yè)種組合都成功的情況中��,能夠計(jì)算出私鑰S���。根據(jù)本發(fā)明另一實(shí)施例����,提供了一種認(rèn)證方法��,包括以下步驟將s e Kn設(shè)置為私鑰并且將環(huán)K上的多次多項(xiàng)式fi(Xl����,…,xn)以及yi = fi(s)設(shè)置為公鑰�����,i = 1至m;將消息c發(fā)送給驗(yàn)證者�����;接收與驗(yàn)證者從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式有關(guān)的信息,k > 3 ���;向驗(yàn)證者發(fā)送k種響應(yīng)信息中的與在接收步驟中接收到的驗(yàn)證模式有關(guān)的信息所對(duì)應(yīng)的響應(yīng)信息��。響應(yīng)信息是這樣的信息���,該信息使得在通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都成功的情況中能夠計(jì)算出私鑰S。根據(jù)本發(fā)明另一實(shí)施例�,提供了一種認(rèn)證方法,包括以下步驟從證明者接收消息 c ����;從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇一個(gè)驗(yàn)證模式�����,k ^ 3 ���;將與在選擇步驟中所選擇的驗(yàn)證模式有關(guān)的信息發(fā)送給證明者���;從證明者接收k種響應(yīng)信息中的與在發(fā)送步驟中所發(fā)送的驗(yàn)證模式有關(guān)的信息所對(duì)應(yīng)的響應(yīng)信息;以及利用在接收消息c的步驟中所接收的消息C以及在接收響應(yīng)信息的步驟中所接收的響應(yīng)信息來驗(yàn)證證明者的合法性����。S e Kn 被設(shè)置為私鑰并且環(huán)K上的多次多項(xiàng)式fi(Xl���,…,xn)以及yi = fi(s)被設(shè)置為公鑰�����,i = 1至m�。響應(yīng)信息是這樣的信息,該信息使得在通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都成功的情況中能夠計(jì)算出私鑰S��。根據(jù)本發(fā)明另一實(shí)施例����,提供了一種認(rèn)證方法,包括以下步驟將s e Kn設(shè)置為私鑰并且將環(huán)K上的多次多項(xiàng)式fi(Xl�,…,xn)以及yi = fi(s)設(shè)置為公鑰��,i = 1至m;將消息c發(fā)送給驗(yàn)證者�;從驗(yàn)證者接收答復(fù)α ;利用在接收答復(fù)α的步驟中所接收的答復(fù)α 來生成將用于驗(yàn)證消息c的多項(xiàng)式f”;將在生成步驟中生成的多項(xiàng)式f”發(fā)送給驗(yàn)證者�����;接收與驗(yàn)證者從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式有關(guān)的信息,k^2���; 向驗(yàn)證者發(fā)送k種響應(yīng)信息中的與在接收與驗(yàn)證模式有關(guān)的信息的步驟中接收到的與驗(yàn)證模式有關(guān)的信息相對(duì)應(yīng)的響應(yīng)信息�����。響應(yīng)信息是這樣的信息���,該信息使得在通過利用兩種答復(fù)α、多項(xiàng)式f”以及k種響應(yīng)信息執(zhí)行的針對(duì)消息c的答復(fù)與驗(yàn)證模式的所有總計(jì)業(yè)種組合都成功的情況中��,能夠計(jì)算出私鑰S�����。根據(jù)本發(fā)明另一實(shí)施例��,提供了一種認(rèn)證方法�,包括以下步驟從證明者接收消息 C;向證明者發(fā)送答復(fù)α �;接收多項(xiàng)式f”,多項(xiàng)式f”是由證明者利用在發(fā)送答復(fù)α的步驟中所發(fā)送的答復(fù)α生成的并被用于驗(yàn)證消息c;從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇一個(gè)驗(yàn)證模式��,k ^ 2 ��;將與在選擇驗(yàn)證模式的步驟中所選擇的驗(yàn)證模式有關(guān)的信息發(fā)送給證明者;從證明者接收k種響應(yīng)信息中的與在發(fā)送與驗(yàn)證模式有關(guān)的信息的步驟中所發(fā)送的與驗(yàn)證模式有關(guān)的信息相對(duì)應(yīng)的響應(yīng)信息�����;以及利用在接收消息c的步驟中所接收的消息C����、在接收多項(xiàng)式f”的步驟中所接收的多項(xiàng)式f”以及在接收響應(yīng)信息的步驟中所接收的響應(yīng)信息來驗(yàn)證證明者的合法性。s e Kn被設(shè)置為私鑰并且環(huán)K上的多次多項(xiàng)式fi(Xl�����,···��, xn)以及Yi = fi(s)被設(shè)置為公鑰�,i = 1至m。響應(yīng)信息是這樣的信息�����,該信息使得在通過利用兩種答復(fù)α���、多項(xiàng)式f”以及k種響應(yīng)信息執(zhí)行的針對(duì)消息c的答復(fù)與驗(yàn)證模式的所有總計(jì)業(yè)種組合都成功的情況中��,能夠計(jì)算出私鑰S����。根據(jù)本發(fā)明另一實(shí)施例,提供了一種使得計(jì)算機(jī)實(shí)現(xiàn)如下功能的程序密鑰設(shè)置功能���,用于將S e Kn設(shè)置為私鑰并且將環(huán)K上的多次多項(xiàng)式fi(Xl���,-,xn)以及yi = fi(s) 設(shè)置為公鑰,i = 1至m �����;消息發(fā)送功能���,用于將消息c發(fā)送給驗(yàn)證者��;驗(yàn)證模式接收功能�, 用于接收與驗(yàn)證者從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式有關(guān)的信息���, k ^ 3 �;響應(yīng)發(fā)送功能�,用于向驗(yàn)證者發(fā)送k種響應(yīng)信息中的與由驗(yàn)證模式接收功能接收到的驗(yàn)證模式有關(guān)的信息所對(duì)應(yīng)的響應(yīng)信息�����。響應(yīng)信息是這樣的信息,該信息使得在通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都成功的情況中能夠計(jì)算出私鑰S����。根據(jù)本發(fā)明另一實(shí)施例,提供了一種記錄有該程序的計(jì)算機(jī)可讀記錄介質(zhì)����。根據(jù)本發(fā)明另一實(shí)施例,提供了一種簽名生成設(shè)備��,包括密鑰設(shè)置單元����,用于將 s e Kn設(shè)置為私鑰并且將環(huán)K上的多次多項(xiàng)式fi(Xl,-,xn)以及yi = fi(s)設(shè)置為公鑰�����, i = 1至m;消息生成單元���,用于基于多次多項(xiàng)式fi(Xl�,-,xn)以及私鑰s來生成N個(gè)消息 c;驗(yàn)證模式選擇單元,用于基于通過將文檔M和消息c應(yīng)用于單向函數(shù)H而獲得的信息��,來從0個(gè)驗(yàn)證模式中選擇驗(yàn)證模式����,k ^ 3 ;簽名生成單元����,用于根據(jù)由驗(yàn)證模式選擇單元所選擇的驗(yàn)證模式,來生成將通過使用消息c和文檔M的驗(yàn)證的數(shù)字簽名ο�。數(shù)字簽名σ是這樣的信息,該信息使得在利用與(k-l)N+l個(gè)驗(yàn)證模式相對(duì)應(yīng)的數(shù)字簽名σ執(zhí)行的驗(yàn)證都成功的情況下����,能夠計(jì)算出私鑰S。對(duì)于m和η����,可以m<n。對(duì)于m和η還可以2° << 1��。根據(jù)上述本發(fā)明的實(shí)施例�,可以實(shí)現(xiàn)通過利用不存在高效求解手段(陷門)的多次多元聯(lián)立方程式增強(qiáng)了其安全性的公鑰認(rèn)證方案或數(shù)字簽名方案。
圖1是用于描述一般的公鑰認(rèn)證方案的算法結(jié)構(gòu)的說明圖�����;圖2是用于描述數(shù)字簽名方案的算法結(jié)構(gòu)的說明圖�;圖3是用于描述η次傳遞公鑰認(rèn)證方案的說明圖;圖4是用于描述本發(fā)明第一實(shí)施例(3次傳遞)的公鑰認(rèn)證方案的算法的說明圖����;圖5是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的擴(kuò)展算法的說明圖;圖6是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的并行算法的說明圖��;圖7是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的非交互式算法的說明圖�����;圖8是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的具體算法的說明圖��;圖9是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法的說明圖����;圖10是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法(修改Α)的說明圖;圖11是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法(修改B)的說明圖���;圖12是用于描述本發(fā)明第二實(shí)施例(5次傳遞)的公鑰認(rèn)證方案的算法的說明圖����;圖13是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的擴(kuò)展算法的說明圖;圖14是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的并行算法的說明圖����;圖15是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的擴(kuò)展算法的并行化的說明圖;圖16是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的非交互式算法的說明圖�����;圖17是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的具體算法的說明圖����;圖18是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法的說明圖19是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法(修改A)的說明圖;圖20是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法(修改B)的說明圖���;圖21是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法(修改C)的說明圖��;圖22是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法(修改D)的說明圖����;圖23是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法(修改E)的說明圖����;圖M是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法(修改F)的說明圖;圖25是用于描述根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法(修改G)的說明圖��;圖沈是用于描述能夠執(zhí)行根據(jù)本發(fā)明每個(gè)實(shí)施例的算法的信息處理裝置的示例硬件配置的說明圖;圖27是比較根據(jù)本發(fā)明第一和第二實(shí)施例的公鑰認(rèn)證方案的效率的圖表�����;以及圖觀是用于描述設(shè)置參數(shù)的合適方法�����、根據(jù)本發(fā)明第一和第二實(shí)施例的公鑰認(rèn)證方案所使用的方法�����,及其效果����。
具體實(shí)施例方式下面�����,將參考附圖詳細(xì)描述本發(fā)明的優(yōu)選實(shí)施例����。注意,在本說明書和附圖中�����,用相同的標(biāo)號(hào)來表示具有基本上相同的功能和結(jié)構(gòu)的結(jié)構(gòu)元件,并且省略對(duì)這些結(jié)構(gòu)元件的重復(fù)描述����。[描述的流程]這里將簡要提及與后面描述的本發(fā)明的實(shí)施例有關(guān)的描述的流程。首先��,將參考圖1描述公鑰認(rèn)證方案的算法結(jié)構(gòu)����。接下來,將參考圖2描述數(shù)字簽名方案的算法結(jié)構(gòu)���。然后���,將參考圖3描述η次傳遞(n-pass)公鑰認(rèn)證方案。另外����,在描述本發(fā)明的實(shí)施例之前, 還要簡要描述一般的HFE簽名方案����。接下來�����,參考圖4描述根據(jù)本發(fā)明第一實(shí)施例(3次傳遞)的公鑰認(rèn)證方案的算法��。然后���,參考圖5描述用于根據(jù)本實(shí)施例的公鑰認(rèn)證方案的擴(kuò)展算法。然后�,參考圖6描述用于根據(jù)本實(shí)施例的公鑰認(rèn)證方案的并行算法�����。接下來���,參考圖7描述用于根據(jù)本實(shí)施例的公鑰認(rèn)證方案的非交互式算法�����。然后����,參考圖8描述用于根據(jù)本實(shí)施例的公鑰認(rèn)證方案的具體算法�。然后��,參考圖9至11描述用于根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法��。接下來����,參考圖12描述根據(jù)本發(fā)第二實(shí)施例(5次傳遞)的鑰認(rèn)證方案的算法���。然后����,參考圖13描述用于根據(jù)本實(shí)施例的公鑰認(rèn)證方案的擴(kuò)展算法��。然后��,參考圖14和15 描述用于根據(jù)本實(shí)施例的公鑰認(rèn)證方案的并行算法�����。接下來���,參考圖16描述用于根據(jù)本實(shí)施例的公鑰認(rèn)證方案的非交互式算法�。然后,參考圖17描述用于根據(jù)本實(shí)施例的公鑰認(rèn)證方案的具體算法��。然后��,參考圖18至25描述用于根據(jù)本實(shí)施例的公鑰認(rèn)證方案的高效算法��。接下來�,描述將根據(jù)本發(fā)明第一和第二實(shí)施例的高效算法應(yīng)用于二次或更高次的多元多項(xiàng)式的擴(kuò)展方法。然后�����,參考圖沈描述能夠?qū)崿F(xiàn)本發(fā)明第一和第二實(shí)施例中的每個(gè)算法的信息處理裝置的示例硬件配置����。最后���,將總結(jié)實(shí)施例的技術(shù)思想并且簡要描述這些技術(shù)思想獲得的效果���。(描述項(xiàng)目)1 介紹-1 公鑰認(rèn)證方案的算法結(jié)構(gòu) -2 數(shù)字簽名方案的算法結(jié)構(gòu) -3 =N次傳遞公鑰認(rèn)證方案 -4 =HFE數(shù)字簽名方案 -4-1 =HFE函數(shù)的性質(zhì) -4-2 =HFE數(shù)字簽名方案的算法
2第一實(shí)施例
2-1 用于公鑰認(rèn)證方案的算法 2-2 擴(kuò)展算法 2-3 并行算法 2-4 非交互式算法 2-5 修改為數(shù)字簽名方案 2-6 具體示例 2-7 高效算法
2-8 多次多元聯(lián)立方程式的形式 2-8-1 與共同密鑰塊密碼有關(guān)的形式 2-8-2 與哈希函數(shù)有關(guān)的形式
2-8-3與流密碼有關(guān)的形式
3第二實(shí)施例
3-1用于公鑰認(rèn)證方案的算法 3-2 擴(kuò)展算法 3-3 并行算法 3-4 非交互式算法 3-5 修改為數(shù)字簽名方案 3-6 具體示例 3-7 高效算法
4高效算法的一般化
5示例硬件配置
6總結(jié) <1 介紹>
首先,在詳細(xì)描述本發(fā)明的實(shí)施例之前�,將簡要描述一般的公鑰認(rèn)證方案的算法 -般的數(shù)字簽名方案的算法結(jié)構(gòu)以及η次傳遞公鑰認(rèn)證方案。 [1-1 公鑰認(rèn)證方案的算法結(jié)構(gòu)]
首先���,參考圖1描述一般的公鑰認(rèn)證方案的算法結(jié)構(gòu)����。圖1是用于描述一般的公鑰認(rèn)證方案的算法結(jié)構(gòu)的說明圖。(概述)公鑰認(rèn)證方案是這樣的認(rèn)證方案��,其中���,一人(證明者)利用公鑰pk和私鑰Sk來使另一人(驗(yàn)證者)相信其是證明者本身�����。例如��,使得證明者A的公鑰驗(yàn)證者所知��。 另一方面�����,證明者A的私鑰skA由證明者秘密地管理�����。根據(jù)公鑰認(rèn)證方案����,知道與公鑰pkA
13相對(duì)應(yīng)的私鑰skA的人被認(rèn)為是證明者A本身。在證明者A試圖向驗(yàn)證者B證明其是證明者本身的情況中�,證明者A可以與驗(yàn)證者B執(zhí)行交互式協(xié)議,并且證明其知道與公鑰pkA相對(duì)應(yīng)的私鑰skA�。然后,在驗(yàn)證者B通過該交互式協(xié)議證實(shí)了證明者A知道私鑰skA的情況中�,則證明者A的合法性(其是證明者本身)得到證實(shí)。另外�,為了確保公鑰認(rèn)證方案的安全性,要滿足下面闡述的兩個(gè)條件��。第一條件是盡可能降低在交互式協(xié)議被執(zhí)行時(shí)沒有私鑰skA的偽造者使偽造成立的概率���。滿足該第一條件被稱為“合理性”(soundness)����。換言之��,通過合理的交互式協(xié)議�����, 沒有私鑰skA的偽造者不會(huì)以不可忽略的概率來使偽造成立�。第二條件是即使交互式協(xié)議被執(zhí)行,與證明者A的私鑰skA有關(guān)的信息一點(diǎn)兒也不會(huì)被泄露給驗(yàn)證者B���。滿足該第二條件被稱為“零知識(shí)”�����。通過利用具有如上所述的合理性和零知識(shí)的交互式協(xié)議來確保公鑰認(rèn)證方案的安全性��。(模型)在公鑰認(rèn)證方案的模型中���,存在如圖1所示的兩個(gè)實(shí)體,即證明者和驗(yàn)證者��。證明者通過利用密鑰生成算法Gen來生成該證明者獨(dú)有的公鑰pk和私鑰sk對(duì)����。然后,證明者通過利用使用密鑰生成算法Gen生成的該公鑰pk和私鑰sk對(duì)來與驗(yàn)證者執(zhí)行交互式協(xié)議��。 此時(shí)�,證明者通過利用證明者算法P來執(zhí)行交互式協(xié)議。如上所述�����,在交互式協(xié)議中,證明者通過利用證明者算法P來向驗(yàn)證者證明其擁有私鑰sk��。另一方面���,驗(yàn)證者通過利用驗(yàn)證者算法V來執(zhí)行交互式協(xié)議�,并且驗(yàn)證該證明者是否擁有與該證明者已公開的公鑰相對(duì)應(yīng)的私鑰�����。即�,驗(yàn)證者是驗(yàn)證證明者是否用于與公鑰相對(duì)應(yīng)的私鑰的實(shí)體。如上所述����,公鑰認(rèn)證方案的模型由兩個(gè)實(shí)體構(gòu)成,即��,由證明者和驗(yàn)證者��,以及三個(gè)算法�����,即密鑰生成算法Gen��、證明者算法P和驗(yàn)證者算法V構(gòu)成����。另外,表述“證明者”和“驗(yàn)證者”將被用在下面的描述中�����,但是這些表述嚴(yán)格來說是指實(shí)體����。因此,執(zhí)行密鑰生成算法Gen和證明者算法P的主體是與實(shí)體“證明者”相對(duì)應(yīng)的信息處理裝置����。類似地,執(zhí)行驗(yàn)證者算法V的主體是信息處理裝置��。這些信息處理裝置的硬件配置例如如圖26所示�。即,密鑰生成算法Gen�����、證明者算法P和驗(yàn)證者算法V是由 CPU 902基于記錄在ROM 904�、RAM 906�、存儲(chǔ)單元920�����、可移除記錄介質(zhì)擬8等上的程序來執(zhí)行的�����。(密鑰生成算法Gen)密鑰生成算法Gen由證明者使用��。密鑰生成算法Gen是用于生成證明者獨(dú)有的公鑰Pk和私鑰Sk對(duì)的算法����。通過密鑰生成算法Gen生成的公鑰Pk被公開。此外����,所公開的公鑰Pk由驗(yàn)證者使用。另一方面�����,通過密鑰生成算法Gen生成的私鑰sk由證明者秘密地管理����。被秘密地管理的私鑰sk用來向驗(yàn)證者證明對(duì)與公鑰pk相對(duì)應(yīng)的私鑰sk的擁有���。形式上�,密鑰生成算法Gen被表示為下面的公式(1),作為獲取安全性參數(shù)1λ(λ是等于或大于0的整數(shù))作為輸入并輸出私鑰sk和公鑰pk的算法���。[表達(dá)式1](sk����,pk) — Gen(Ix)...(1)(證明者算法P)
證明者算法P由證明者使用�。證明者算法P是用于證明對(duì)與公鑰Pk相對(duì)應(yīng)的私鑰Sk的擁有的算法。證明者算法P被定義為獲取證明者的公鑰Pk和私鑰Sk作為輸入并且執(zhí)行與驗(yàn)證者的交互式協(xié)議的算法����。(驗(yàn)證者算法V)驗(yàn)證者算法V由驗(yàn)證者使用。驗(yàn)證者算法V是用于在交互式協(xié)議中驗(yàn)證證明者是否擁有與公鑰Pk相對(duì)應(yīng)的私鑰sk的算法����。驗(yàn)證者算法V被定義為獲取證明者的公鑰Pk 作為輸入并在執(zhí)行了與證明者的交互式協(xié)議之后輸出0或1(1比特)的算法。此外�,在輸出0的情況中,假設(shè)證明者是非法的���,并且在輸出1的情況中��,假設(shè)證明者是合法的�。形式上,驗(yàn)證者算法V被表示為如下的公式O)�����。[表達(dá)式2]0/1 — V(pk�����,m�,σ )…⑵(補(bǔ)充)如上所述,公鑰認(rèn)證方案必須滿足兩個(gè)條件�����,S卩�����,合理性和零知識(shí)�,以確保安全性。 然而�����,為了使得證明者能證明其擁有私鑰sk,需要證明者執(zhí)行依賴于私鑰sk的過程�,向驗(yàn)證者通知結(jié)果并且使驗(yàn)證者基于所通知內(nèi)容執(zhí)行驗(yàn)證。執(zhí)行依賴于私鑰Sk的過程是必要的����,以保證合理性。另一方面�����,即使在過程的結(jié)果被通知給驗(yàn)證者時(shí)�,也需要與私鑰吐4有關(guān)的信息一點(diǎn)兒也不會(huì)被泄露給驗(yàn)證者�。因此,需要將密鑰生成算法Gen�、證明者算法P和驗(yàn)證者算法V設(shè)計(jì)為滿足這些項(xiàng)。在前面�,已描述了一般的公鑰認(rèn)證方案的算法結(jié)構(gòu)。[1-2 數(shù)字簽名方案的算法結(jié)構(gòu)]接下來��,將參考圖2描述數(shù)字簽名方案的算法結(jié)構(gòu)�。圖2是用于描述一般的數(shù)字簽名方案的算法結(jié)構(gòu)的說明圖。(概述)與紙質(zhì)文檔不同�,無法對(duì)數(shù)字化數(shù)據(jù)進(jìn)行密封或簽名。因此,為了證明數(shù)字化數(shù)據(jù)的作者的合法性��,產(chǎn)生與對(duì)紙質(zhì)文檔進(jìn)行密封或簽名相同效果的電子機(jī)制成為必要��。該機(jī)制就是數(shù)字簽名����。例如,將僅數(shù)據(jù)的作者知道的簽名數(shù)據(jù)提供給與該數(shù)據(jù)相關(guān)聯(lián)的接收者并且在接收者側(cè)驗(yàn)證該簽名數(shù)據(jù)的機(jī)制被稱為數(shù)字簽名方案���。(模型)在數(shù)字簽名方案的模型中�����,存在如圖2所示的兩個(gè)實(shí)體��,即簽名者和驗(yàn)證者��。此外���,數(shù)字簽名方案的模型還由三個(gè)算法,即密鑰生成算法Gen�����、簽名生成算法Sig和簽名驗(yàn)證算法Ver構(gòu)成。簽名者通過利用密鑰生成算法Gen來生成該簽名者獨(dú)有的驗(yàn)證密鑰pk和簽名密鑰sk對(duì)��。此外�����,簽名者通過利用簽名生成算法Sig來生成將被添加到文檔M的數(shù)字簽名 σ����。即,簽名者是向文檔M添加數(shù)字簽名的實(shí)體�。另一方面,驗(yàn)證者通過利用簽名驗(yàn)證算法 Ver來驗(yàn)證添加到文檔M的數(shù)字簽名ο����。即�����,驗(yàn)證者是驗(yàn)證該數(shù)字簽名σ以檢查文檔M的作者是否是該簽名者的實(shí)體����。另外,表述“簽名者”和“驗(yàn)證者”將被用在下面的描述中�,但是這些表述嚴(yán)格來說是指實(shí)體。因此,執(zhí)行密鑰生成算法Gen和簽名生成算法Sig的主體是與實(shí)體“簽名者”相對(duì)應(yīng)的信息處理裝置�����。類似地��,執(zhí)行簽名驗(yàn)證算法Ver的主體也是信息處理裝置����。這些信息處理裝置的硬件配置例如如圖沈所示。即��,密鑰生成算法Gen�、簽名生成算法Sig和簽名驗(yàn)證算法Ver是由CPU 902基于記錄在ROM 904、RAM 906�、存儲(chǔ)單元920、可移除記錄介質(zhì) 928等上的程序來執(zhí)行的����。(密鑰生成算法Gen)密鑰生成算法Gen由簽名者使用。密鑰生成算法Gen是用于生成簽名者獨(dú)有的驗(yàn)證密鑰Pk和簽名密鑰sk對(duì)的算法�����。通過密鑰生成算法Gen生成的驗(yàn)證密鑰pk被公開�。另一方面����,通過密鑰生成算法Gen生成的簽名密鑰sk由簽名者秘密地管理�。由簽名者秘密地管理的簽名密鑰sk被用來生成添加到文檔M的數(shù)字簽名ο。形式上���,該密鑰生成算法Gen 被表示為如下的公式(3)���,作為獲取安全性參數(shù)1λ( λ是等于或大于0的整數(shù))作為輸入并輸出私鑰sk和公鑰pk的算法。[表達(dá)式3](sk����,pk) — Gen(Ix)...(3)(簽名生成算法Sig)簽名生成算法Sig由簽名者使用。簽名生成算法Sig是用于生成將被添加到文檔 M的數(shù)字簽名σ的算法���。形式上,簽名生成算法Sig被標(biāo)識(shí)為如下的公式G)���,作為獲取文檔M和簽名者的簽名密鑰sk作為輸入并輸出數(shù)字簽名σ的算法�。[表達(dá)式4]σ — Sig (sk����,Μ)... (4)(簽名驗(yàn)證算法Ver)簽名驗(yàn)證算法Ver由驗(yàn)證者使用�。簽名驗(yàn)證算法Ver是用于驗(yàn)證數(shù)字鑒名σ是否是文檔M的有效數(shù)字簽名的算法���。形式上����,簽名驗(yàn)證算法Ver被表示為如下的公式(5)�����, 作為獲取驗(yàn)證密鑰pk�����、文檔M和簽名者的數(shù)字簽名σ作為輸入并輸出0或1(1比特)的算法�。此外,在0被輸出的情況中(在公鑰pk否決文檔M和數(shù)字簽名σ的情況中)����,文檔M 的數(shù)字簽名σ是無效的。在1被輸出的情況中(在公鑰pk接受文檔M和數(shù)字簽名σ的情況中)���,文檔M的數(shù)字簽名σ是有效的�。[表達(dá)式5]0/1 — Ver(pk���,Μ��,σ )...(5)在前面�,已描述了一般的數(shù)字簽名方案的算法結(jié)構(gòu)。[1-3 =N次傳遞公鑰認(rèn)證方案]接下來����,將參考圖3描述η次傳遞公鑰認(rèn)證方案。圖3是用于描述η次傳遞公鑰認(rèn)證方案的說明圖��。如上所述����,公鑰認(rèn)證方案是用于在交互式協(xié)議中向驗(yàn)證者證明證明者擁有與公鑰 Pk相對(duì)應(yīng)的私鑰sk的認(rèn)證方案。此外����,為了保證公鑰認(rèn)證方案的安全性,必須滿足兩個(gè)條件���,即合理性和零知識(shí)。因此���,如圖3所示��,在交互式協(xié)議中�����,在證明者和驗(yàn)證者兩者正執(zhí)行這些處理的執(zhí)行時(shí)�����,在證明者和驗(yàn)證者之間執(zhí)行信息交換η次��。在η次傳遞公鑰認(rèn)證方案的情況中��,由證明者利用證明者算法P來執(zhí)行處理(步驟1)��,并且信息T1被發(fā)送給驗(yàn)證者��。接下來��,由驗(yàn)證者利用驗(yàn)證者算法V執(zhí)行處理(步驟 2)��,并且信息T2被發(fā)送給證明者�����。處理(步驟3���,…���,步驟η)以類似方式被執(zhí)行并且多個(gè)信息T3,…��,Tn被發(fā)送��,并且處理(步驟η+1)被執(zhí)行�。將基于多個(gè)信息被發(fā)送/接收η次的交互式協(xié)議的這樣的公鑰認(rèn)證方案稱為“η次傳遞”公鑰認(rèn)證方案���。
0146]在前面����,已描述了 η次傳遞公鑰認(rèn)證方案�。
0147][1-4 :HFE數(shù)字簽名方案]
0148]這里,將簡要描述HFE數(shù)字簽名方案作為使用多次多元聯(lián)立方程式的數(shù)字簽名方案的示例����。
0149](1-4-1 =HFE 函數(shù)的性質(zhì)) 首先,將簡要描述HFE函數(shù)Ft的定義和HFE函數(shù)Ft的性質(zhì)����。 《符號(hào)的定義》
K 由包括q個(gè)數(shù)的元素形成的有限環(huán) Kn =K的N次直積 Ft =Kn — Kn
A 有限環(huán)K的N次擴(kuò)展(元素?cái)?shù)qn) B 有限環(huán)K的M次擴(kuò)展(元素?cái)?shù)qm) 線性映射A —Kn(參見下面的公式(6)) S 對(duì)Kn的逆仿射變換 T 對(duì)Kn的逆仿射變換 f:中心映射(參見下面的公式(7)) 陷門:S, Τ, aljr bj, c [表達(dá)式6]
Φ (Χο+ΧιΧ+...+XlriXn-1) = (χ0,…,Xn^1) ... (6)
0150]
0151]
0152]
0153]
0154]
0155]
0156]
0157]
0158]
0159]
0160] 0161] 0162]
0163]
0164][表達(dá)式7]
0165]
權(quán)利要求
1.一種認(rèn)證設(shè)備,包括密鑰設(shè)置單元�,用于將s e Kn設(shè)置為私鑰并且將環(huán)K上的多次項(xiàng)式fi(Xl����,…,xn)以 Rli = fjs)設(shè)置為公鑰��,i = 1至m ���;消息發(fā)送單元�,用于將消息c發(fā)送給驗(yàn)證者�����;驗(yàn)證模式接收單元��,用于接收由所述驗(yàn)證者從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式的信息�,k彡3 ;以及響應(yīng)發(fā)送單元����,用于向所述驗(yàn)證者發(fā)送k種響應(yīng)信息中的與由所述驗(yàn)證模式接收單元接收到的驗(yàn)證模式的信息相對(duì)應(yīng)的響應(yīng)信息,其中��,所述響應(yīng)信息是使得在如下情況中能夠計(jì)算出所述私鑰s的信息通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都已成功。
2.根據(jù)權(quán)利要求1所述的認(rèn)證設(shè)備�����,其中�,如果在執(zhí)行由所述消息發(fā)送單元發(fā)送一個(gè)或多個(gè)消息c的第一步驟、由所述驗(yàn)證模式接收單元針對(duì)每個(gè)消息c從所述驗(yàn)證者接收驗(yàn)證模式的信息的第二步驟����、以及由所述響應(yīng)發(fā)送單元針對(duì)每個(gè)驗(yàn)證模式的信息發(fā)送響應(yīng)信息的第三步驟時(shí),所述驗(yàn)證者利用所有響應(yīng)信息都成功地執(zhí)行了驗(yàn)證��,則認(rèn)證成功�����。
3.根據(jù)權(quán)利要求2所述的認(rèn)證設(shè)備��,其中��,執(zhí)行由所述消息發(fā)送單元發(fā)送一個(gè)或多個(gè)消息c的第一步驟��、由所述驗(yàn)證模式接收單元針對(duì)每個(gè)消息c從所述驗(yàn)證者接收驗(yàn)證模式的信息的第二步驟���、以及由所述響應(yīng)發(fā)送單元針對(duì)每個(gè)驗(yàn)證模式的信息發(fā)送響應(yīng)信息的第三步驟的處理被重復(fù)��,并且其中���,如果當(dāng)將所述第一步驟至第三步驟執(zhí)行了預(yù)定次數(shù)時(shí)�����,所述驗(yàn)證者利用所有響應(yīng)信息每次都成功地執(zhí)行了驗(yàn)證,則所述認(rèn)證成功���。
4.根據(jù)權(quán)利要求2或3所述的認(rèn)證設(shè)備�����, 其中�����,在所述消息C= (ci; -,Cffl)的情況中�����,所述消息發(fā)送單元通過利用單向函數(shù)H來計(jì)算新的消息c’ = H(C)�����,并且將所述消息 C’發(fā)送給所述驗(yàn)證者���,并且所述響應(yīng)發(fā)送單元將所述驗(yàn)證者即使利用所述響應(yīng)信息也不能恢復(fù)出來的所述消息c 的元素與所述響應(yīng)信息一起發(fā)送�����。
5.根據(jù)權(quán)利要求4所述的認(rèn)證設(shè)備����,其中��,所述單向函數(shù)是哈希函數(shù)或承諾函數(shù)�����。
6.一種認(rèn)證設(shè)備�����,包括消息接收單元��,用于從證明者接收消息c ����;驗(yàn)證模式選擇單元��,用于從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇一個(gè)驗(yàn)證模式�, k彡3 ��;驗(yàn)證模式發(fā)送單元����,用于將由所述驗(yàn)證模式選擇單元選擇的驗(yàn)證模式的信息發(fā)送給所述證明者;響應(yīng)接收單元���,用于從所述證明者接收k種響應(yīng)信息中的與由所述驗(yàn)證模式發(fā)送單元發(fā)送的驗(yàn)證模式的信息相對(duì)應(yīng)的響應(yīng)信息;以及驗(yàn)證單元�,用于利用由所述消息接收單元接收的所述消息c和由所述響應(yīng)接收單元接收的所述響應(yīng)信息來驗(yàn)證所述證明者的合法性,其中���,s e Kn被設(shè)置為私鑰����,并且環(huán)K上的多次多項(xiàng)式fi(Xl�����,…��,xn)以及yi = fi(s)被設(shè)置為公鑰,i = 1至m����,并且其中,所述響應(yīng)信息是使得在如下情況中能夠計(jì)算出所述私鑰s的信息通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都已成功�����。
7.一種認(rèn)證設(shè)備��,包括密鑰設(shè)置單元���,用于將s e Kn設(shè)置為私鑰并且將環(huán)K上的多次多項(xiàng)式 ^(Χι��,···��,Χη)以 Rli = fjs)設(shè)置為公鑰����,i = 1至m ����;消息發(fā)送單元,用于將消息c發(fā)送給驗(yàn)證者����; 答復(fù)接收單元�,用于從所述驗(yàn)證者接收答復(fù)α ���;多項(xiàng)式生成單元�,用于利用所述答復(fù)接收單元接收的所述答復(fù)α來生成要用于驗(yàn)證所述消息c的多項(xiàng)式f ” ����;多項(xiàng)式發(fā)送單元,用于將由所述多項(xiàng)式生成單元生成的所述多項(xiàng)式f”發(fā)送給所述驗(yàn)證者��;驗(yàn)證模式接收單元�����,用于接收由所述驗(yàn)證者從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式的信息���,k彡2 ;響應(yīng)發(fā)送單元�,用于向所述驗(yàn)證者發(fā)送k種響應(yīng)信息中的與由所述驗(yàn)證模式接收單元接收的驗(yàn)證模式的信息相對(duì)應(yīng)的響應(yīng)信息,其中���,所述響應(yīng)信息是使得在如下情況中能夠計(jì)算出所述私鑰s的信息通過利用兩種答復(fù)α�����、所述多項(xiàng)式f”以及k種響應(yīng)信息執(zhí)行的針對(duì)所述消息c的答復(fù)與驗(yàn)證模式的全部總計(jì)業(yè)種組合都已成功�����。
8.根據(jù)權(quán)利要求7所述的認(rèn)證設(shè)備��,其中����,如果在執(zhí)行由所述消息發(fā)送單元發(fā)送一個(gè)或多個(gè)消息c的第一步驟、由所述答復(fù)接收單元接收針對(duì)每個(gè)消息c的所述答復(fù)α的第二步驟���、由所述多項(xiàng)式生成單元利用在所述第二步驟中接收的所述答復(fù)α來生成多項(xiàng)式f”并且由所述多項(xiàng)式發(fā)送單元發(fā)送所述多項(xiàng)式f”的第三步驟�、由所述驗(yàn)證模式接收單元針對(duì)每個(gè)消息c從所述驗(yàn)證者接收驗(yàn)證模式的信息的第四步驟�����、以及由所述響應(yīng)發(fā)送單元針對(duì)每個(gè)驗(yàn)證模式的信息發(fā)送響應(yīng)信息的第五步驟時(shí)���,如果所述驗(yàn)證者利用所有響應(yīng)信息都成功地執(zhí)行了驗(yàn)證�����,則認(rèn)證成功���。
9.根據(jù)權(quán)利要求8所述的認(rèn)證設(shè)備��,其中���,執(zhí)行由所述消息發(fā)送單元發(fā)送一個(gè)或多個(gè)消息c的第一步驟、由所述答復(fù)接收單元接收針對(duì)每個(gè)消息c的所述答復(fù)α的第二步驟�、由所述多項(xiàng)式生成單元利用在所述第二步中接收的所述答復(fù)α來生成多項(xiàng)式f”并且由所述多項(xiàng)式發(fā)送單元發(fā)送所述多項(xiàng)式f” 的第三步驟、由所述驗(yàn)證模式接收單元針對(duì)每個(gè)消息c從所述驗(yàn)證者接收驗(yàn)證模式的信息的第四步驟���、以及由所述響應(yīng)發(fā)送單元針對(duì)每個(gè)驗(yàn)證模式的信息發(fā)送響應(yīng)信息的第五步驟的處理被重復(fù)�,并且其中����,如果當(dāng)將所述第一步驟至第五步驟執(zhí)行了預(yù)定次數(shù)時(shí)�,所述驗(yàn)證者利用所有響應(yīng)信息每次都成功地執(zhí)行了驗(yàn)證,則所述認(rèn)證成功����。
10.一種認(rèn)證設(shè)備,包括消息接收單元���,用于從證明者接收消息c ��; 答復(fù)發(fā)送單元����,用于向所述證明者發(fā)送答復(fù)α ;多項(xiàng)式接收單元���,用于接收多項(xiàng)式f”��,所述多項(xiàng)式f”是由所述證明者利用由所述答復(fù)發(fā)送單元發(fā)送的所述答復(fù)α生成的并被用于驗(yàn)證所述消息c;驗(yàn)證模式選擇單元����,用于從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇一個(gè)驗(yàn)證模式�����, k彡2 ����;驗(yàn)證模式發(fā)送單元,用于將由所述驗(yàn)證模式選擇單元選擇的驗(yàn)證模式的信息發(fā)送給所述證明者�����;響應(yīng)接收單元,用于從所述證明者接收k種響應(yīng)信息中的與由所述驗(yàn)證模式發(fā)送單元發(fā)送的驗(yàn)證模式的信息相對(duì)應(yīng)的響應(yīng)信息�����;以及驗(yàn)證單元�,用于利用由所述消息接收單元接收的所述消息C、由所述多項(xiàng)式接收單元接收的所述多項(xiàng)式f”以及由所述響應(yīng)接收單元接收的所述響應(yīng)信息����,驗(yàn)證所述證明者的合法性,其中�����,s e Kn被設(shè)置為私鑰�����,并且環(huán)K上的多次多項(xiàng)式fi(Xl�����,…�����,xn)以及yi = fi(s) 被設(shè)置為公鑰�����,i = 1至m�,并且其中,所述響應(yīng)信息是使得在如下情況中能夠計(jì)算出所述私鑰s的信息通過利用兩種答復(fù)α��、所述多項(xiàng)式f”以及k種響應(yīng)信息執(zhí)行的針對(duì)所述消息c的答復(fù)與驗(yàn)證模式的全部總計(jì)業(yè)種組合都已成功���。
11.根據(jù)權(quán)利要求1所述的認(rèn)證設(shè)備���, 其中,所述m和所述η具有m < η的關(guān)系�����。
12.根據(jù)權(quán)利要求11所述的認(rèn)證設(shè)備��,其中���,所述m和所述η具有2m_n<< 1的關(guān)系����。
13.一種認(rèn)證方法,包括以下步驟將s e Kn設(shè)置為私鑰�����,并且將環(huán)K上的多次多項(xiàng)式fi(Xl�,…,xn)以及yi = fi(s)設(shè)置為公鑰��,i = 1至m;將消息c發(fā)送給驗(yàn)證者�;接收由所述驗(yàn)證者從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式的信息, k彡3 �����;向所述驗(yàn)證者發(fā)送k種響應(yīng)信息中的與在接收步驟中接收到的驗(yàn)證模式的信息相對(duì)應(yīng)的響應(yīng)信息���,其中�����,所述響應(yīng)信息是使得在如下情況中能夠計(jì)算出所述私鑰s的信息通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都已成功�����。
14.一種認(rèn)證方法��,包括以下步驟 從證明者接收消息c �;從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇一個(gè)驗(yàn)證模式�����,k^3�; 將在選擇步驟中所選擇的驗(yàn)證模式的信息發(fā)送給所述證明者; 從所述證明者接收k種響應(yīng)信息中的與在發(fā)送步驟中發(fā)送的驗(yàn)證模式的信息相對(duì)應(yīng)的響應(yīng)信息��;以及利用在接收消息c的步驟中所接收的所述消息c以及在接收響應(yīng)信息的步驟中所接收的所述響應(yīng)信息來驗(yàn)證所述證明者的合法性��,其中����,s e Kn被設(shè)置為私鑰,并且環(huán)K上的多次多項(xiàng)式fi(Xl�����,…�,xn)以及yi = fi(s) 被設(shè)置為公鑰,i = 1至m��,并且其中,所述響應(yīng)信息是使得在如下情況中能夠計(jì)算出所述私鑰s的信息通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都已成功���。
15.一種認(rèn)證方法�,包括以下步驟將s e Kn設(shè)置為私鑰��,并且將環(huán)K上的多次多項(xiàng)式fi(Xl�����,…�����,xn)以及yi = fi(s)設(shè)置為公鑰��,i = 1至m;將消息c發(fā)送給驗(yàn)證者��; 從所述驗(yàn)證者接收答復(fù)α �����;利用在接收答復(fù)α的步驟中所接收的所述答復(fù)α來生成要用于驗(yàn)證所述消息c的多項(xiàng)式f” �����;將在生成步驟中生成的所述多項(xiàng)式f”發(fā)送給所述驗(yàn)證者;接收由所述驗(yàn)證者從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式的信息�, k彡2 ;向所述驗(yàn)證者發(fā)送k種響應(yīng)信息中的與在接收驗(yàn)證模式的信息的步驟中接收的驗(yàn)證模式的信息相對(duì)應(yīng)的響應(yīng)信息��,其中��,所述響應(yīng)信息是使得在如下情況中能夠計(jì)算出所述私鑰s的信息通過利用兩種答復(fù)α��、所述多項(xiàng)式f”以及k種響應(yīng)信息執(zhí)行的針對(duì)所述消息c的答復(fù)與驗(yàn)證模式的全部總計(jì)業(yè)種組合都已成功�。
16.一種認(rèn)證方法�����,包括以下步驟 從證明者接收消息c �����;向所述證明者發(fā)送答復(fù)α ����;接收多項(xiàng)式f”,所述多項(xiàng)式f”是由所述證明者利用在發(fā)送答復(fù)α的步驟中所發(fā)送的所述答復(fù)α生成的并被用于驗(yàn)證所述消息c;從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇一個(gè)驗(yàn)證模式����,k^2�; 將在選擇驗(yàn)證模式的步驟中選擇的驗(yàn)證模式的信息發(fā)送給所述證明者����; 從所述證明者接收k種響應(yīng)信息中的與在發(fā)送驗(yàn)證模式的信息的步驟中所發(fā)送的驗(yàn)證模式的信息相對(duì)應(yīng)的響應(yīng)信息;以及利用在接收消息c的步驟中所接收的所述消息C�、在接收多項(xiàng)式f ”的步驟中所接收的所述多項(xiàng)式f”以及在接收響應(yīng)信息的步驟中所接收的所述響應(yīng)信息來驗(yàn)證所述證明者的合法性,其中���,s e Kn被設(shè)置為私鑰�����,并且環(huán)K上的多次多項(xiàng)式fi(Xl���,…,xn)以及yi = fi(s) 被設(shè)置為公鑰��,i = 1至m�,并且其中,所述響應(yīng)信息是使得在如下情況中能夠計(jì)算出所述私鑰s的信息通過利用兩種答復(fù)α����、所述多項(xiàng)式f”以及k種響應(yīng)信息執(zhí)行的針對(duì)所述消息c的答復(fù)與驗(yàn)證模式的全部總計(jì)業(yè)種組合都已成功。
17.一種使得計(jì)算機(jī)實(shí)現(xiàn)如下功能的程序密鑰設(shè)置功能,用于將s e Kn設(shè)置為私鑰并且將環(huán)K上的多次多項(xiàng)式 ^(Χι���,···��,Χη)以 Rli = fjs)設(shè)置為公鑰����,i = 1至m ��;消息發(fā)送功能���,用于將消息c發(fā)送給驗(yàn)證者;驗(yàn)證模式接收功能�,用于接收由所述驗(yàn)證者從針對(duì)一個(gè)消息c的k個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式的信息,k彡3 �;響應(yīng)發(fā)送功能,用于向所述驗(yàn)證者發(fā)送k種響應(yīng)信息中的與由所述驗(yàn)證模式接收功能接收到的驗(yàn)證模式的信息相對(duì)應(yīng)的響應(yīng)信息��,其中�,所述響應(yīng)信息是使得在如下情況中能夠計(jì)算出所述私鑰s的信息通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都已成功。
18. —種簽名生成設(shè)備����,包括密鑰設(shè)置單元,用于將s e Kn設(shè)置為私鑰并且將環(huán)K上的多次多項(xiàng)式 ^(Χι,···��,Χη)以 Rli = fjs)設(shè)置為公鑰�,i = 1至m ;消息生成單元��,用于基于所述多次多項(xiàng)式fi(Xl����,-,xn)以及所述私鑰s來生成N個(gè)消息c ;驗(yàn)證模式選擇單元�����,用于基于通過將文檔M和所述消息c應(yīng)用于單向函數(shù)而獲得的信息�,來從kN個(gè)驗(yàn)證模式中選擇驗(yàn)證模式�,k^3��;簽名生成單元����,用于根據(jù)由所述驗(yàn)證模式選擇單元所選擇的驗(yàn)證模式,來生成數(shù)字簽名σ��,所述數(shù)字簽名σ將通過使用所述消息c和所述文檔M的驗(yàn)證����,其中���,所述數(shù)字簽名ο是使得在如下情況中能夠計(jì)算出所述私鑰s的信息利用與 (k_l)N+l個(gè)驗(yàn)證模式相對(duì)應(yīng)的數(shù)字簽名ο執(zhí)行的驗(yàn)證都已成功。
全文摘要
本發(fā)明公開了認(rèn)證設(shè)備���、認(rèn)證方法�����、程序和簽名生成設(shè)備���。提供了一種認(rèn)證設(shè)備,包括密鑰設(shè)置單元�����,用于將s∈Kn設(shè)置為私鑰并且將環(huán)K上的多次多項(xiàng)式fi(x1�,…���,xn)(i=1至m)以及yi=fi(s)設(shè)置為公鑰���;消息發(fā)送單元,用于將消息c發(fā)送給驗(yàn)證者;驗(yàn)證模式接收單元��,用于接收與驗(yàn)證者針對(duì)一個(gè)消息c從k(k≥3)個(gè)驗(yàn)證模式中選擇的一個(gè)驗(yàn)證模式有關(guān)的信息���;以及響應(yīng)發(fā)送單元�,用于向驗(yàn)證者發(fā)送k種響應(yīng)信息中的與由驗(yàn)證模式接收單元接收到的驗(yàn)證模式有關(guān)的信息所對(duì)應(yīng)的響應(yīng)信息����,其中,響應(yīng)信息是這樣的信息��,該信息使得在通過利用k種響應(yīng)信息執(zhí)行的針對(duì)消息c的所有k個(gè)驗(yàn)證模式都成功的情況中能夠計(jì)算出私鑰s�����。
文檔編號(hào)H04L9/32GK102263638SQ20111014502
公開日2011年11月30日 申請日期2011年5月24日 優(yōu)先權(quán)日2010年5月31日
發(fā)明者作本纮一, 樋渡玄良, 白井太三 申請人:索尼公司