一种抗量子攻击有证书代理签名方案.pdfVIP

一种抗量子攻击的有证书代理签名方案 田苗苗1，2黄刘生1，2朱友文1，2* 2.中国科学技术大学苏州研究院，江苏苏州215123 1.中国科学技术大学计算机科学与技术学院国家高性能计算中心，安徽合肥230026 摘要：现有的代理签名方案(proxysignature)多是基于离散对数或整数分解问题，然而，这些方案都不能抵抗量子 攻击.利用Gentry,Peikert和Vaikuntanathan(GPV)构造的基于格的数字签名方案(lattice-basedsignature)，设 计了一个抗量子攻击的带有证书的代理签名方案.该方案不仅能抵抗量子攻击、满足代理签名方案的所有安全性条件， 而且还具有运算简单、不使用安全通道的特点，为代理签名方案在像无线传感器节点这类运算能力弱、能量少的设备 中高致使用开辟了新的途径。 关键词：数字签名;代理签名;基于格的数字签名;抗量子攻击 川茼葡等：一种抗晕子攻击的仃证书代理签名方案 正交化矩阵记为X。 ㈣≤㈣≤￡。 定义2．1^=“曰)={曰l，|，∈秽}乒∈Ⅳ¨称为 以B为基的J|}阶肝维格，其中召=【b．，b2，．．．，bd的秩是 显然，当输入一仉时计算对应的后艄足方 七。特别的，当七=月时称人为满秩格。 便的，但在不知道r的情况下计宴耖以：k—D。的Iij 定义2．2满秩格人的最小距离九I(人)为格中难性相当于求格中以，，=∥．D(109。以√i)(co 非零向量的模的最小值， 即 是常数)为近似因子的SIVP问题一样困难，具体 九l(人)=ln吣E^、fo川x|I。类似的，k(^)为格人中 包含，个线性无关向量的长度最小值。 证明见【13】。 定义2．3近似因子为“疗)的最小线性无关向 当知道陷门蹦，求上述函数的逆厂4：k一巩 vectorS 量 问 题 (ShonestIndependent 的计算过程如下。 Problem(SlvP))：求满秩格人中疗个线性无关的向 (i)解线性方程绸4矿‘㈣modg得到向量l， 量，使得其中最长向量的长度丌i超过“，7)·h(人)。 ∈z了，使得爿俨删modgf日．v诺D一。 3 GPv数字签名方案‘13l (ii)令con妒log(功是一个常函数，％一鸭 Ⅳ^=O。 基于格困难性问题，Gent瞅Peiken和For产铆…l，do vaikuntarlafhan(GPv)提出了一个在随机预言模 型下可证安全的签名方案。此方案基丁：二一个抗碰 (1)制，，’％，i∥；2确。 撞的单向陷门函数，而该函数的安全性又基于： (2)在集合 如果没有陷门，那么即使用量子算法也很难在一 zn k—s；．cD，lsf，’，；+s；·cD，，sf】中随机选择一个 般格中寻找到一个短向量。下面，我们首先介绍 一下这个单向陷门函数。 元素zf。 (3)令’，f-l=即zI·白，Ⅳf-l=砧，+zf·ff。 3．1GPV单向陷门函数 Endfor 构造此函数用到了离散高斯抽样和随机 (iii)输出口o。令x邗o+，，此时有石艄i舭(mod Babai最近平面算法等，限于篇幅本文不详细讨咖血∈现成立，所‰即为所求。 论，有兴趣的读者可以参考文献【13】。 选择素数