同时基于因子分解和离散对数问题的签名体制的分析.pdfVIP

同时基于因子分解与离散对数问题 的签名体制的分析 扬君辉．叶顶锋，戴宗蟀，欧海文 中国科学院研究生院信息安全国家重点实验宣 摘要：Shao与Hc等人在文【5，61中提出了所谓同时基于两个难题的数 字签名方案．其意图是只要大整数分解和离散对数问题不被同时攻破．则其 方案就是安全的。Xiao等于文【_7】中证明了Shao的方案根本就不安全．而本 文的结果表明：He的方案在离散对数问题可解时是可破的。我们对He的方 案进行了修改．并提出了一个带消息恢复的同时基于两个难题的数字签名方 案． 关键词：园子分解，离散对数，数字签名。 一、 引言 当今的信息系统中所实现的公钥密码算法大多是基于大整数分解和离 敞对数问题两者之一的。如果以后的研究表明这两个问题中的某一个不是象 我们今天认为的那样难，则很多系统都将变得不安全。因此，有人希望拥有 安全性被上述两个数学难题同时保证的密码体制，就是说，只要上述两个难 题中有一个不被解决，那么算法就将是安全的．为此．已经有许多签名算法 被设计II“，但不幸的是．这些算法不是在安全考虑上有缺陷，就是实用性 很差。Shao!钉和Ho旧为此提出过一些数字签名方案．这些方案使用一个循 环群．其生成元g的阶是一个RSA模数n。各个用户有一个公开密钥y=≤删， 其中x∈厶是秘密密铜。在Shao的方案中，Q(x)x2+x：：在}{e的方案中， Q(x)--(x+x。r．对消息m的签名预期是签名者对“知道X”这一事实的一 个EIGamal型证明．不幸的是，在这些情形下，对“X”的知识零知识证明 并没有已知的有效方法(数字签名和非交互式零知识证明是等价的)。这些 方案使用一些精心设计的方程作为签名的验证检验。不幸的是，这些方程 并不能发挥预期的作用。事实上，攻破$hao的算法，只需知道一个消息的 有效签名即可(参阅文阴)；我们将证明：只要能解决离散对数问题，就能 攻破}Ic的算法． 为了设计一个同时基于两个难题的签名方案，我们给出He的方案的一 个修改。然而，在此修改方案中，我们需要签名者能够计算乙中平方根， 这需要他知道n的分解，因此各个签名者应有不同的群．另一个方式是将 RSA算法与Hyberg．Ruppel的签名方案复合，这就给出一个基于两个难题的、 带消息恢复的签名方案。 二、Wei．Hua He方案的分析 在Wei·Hua He的方案中，系统参数为P，n，g，其中P--4plql+l为大 素数，g为剩余类环Z产z㈣中一个阶为n-(P-1)／4ffiplql的元素．而PI．ql 也是大素数。系统中各个用户选择一个私钥x∈厶。使得sed(x+x。，n)-I． ． 并且计算出对应的公钥y，y=goⅣ”(modP)．对一个菇息m的签名是 12，m)(Hf。)。】(x+x11)“(modn)．t随机选取于zb，使得gcd(t+t‘，n)穹l，并且 “．，．，．)是一个公开己知的单向Hash函数．验证者检查是否 P)． Y=■’0‘1乓。792州仙4’(mod 我们注意到，在上述中表达式x+x4和Hfl可以分别被x和t瞢换。我 们可咀假定用户的密钥对是(x’y)，其中y=g’。当从上下文中可I；I明显看 出时，我们将省略写(rood n)．一 P)，(mod He方案的一些可能的方式．例如， 文献【61给出和分析了攻击Wei．Hua 在文献谰的攻击1(或攻击4)中作者力图说明：在一个敌手通过求解离散 对数问题(或通过某些同态攻击)获得了离散对数IogDP《的情况下，{