基于环Zn上圆锥曲线的数字签名方案的密码分析.pdfVIP

基于环Zn上圆锥曲线的数字签名方案的密码分析 李程远，王标 国际关系学院信患科技系北京100091 chinalchy@hotmail．COrn 摘要：对一个建立在圆锥曲线上的同时基于离散对数和整数分解问题的数字签名方案一HQ进行了安 全性分析。提出了该算法由于参数设置上的不合理，所存在的安全性问题。由此证明了该方案不是真 正基于两个困难问题的签名方案。并给出了一个改进方案，使其成为一个真正基于两个困难问题的签 名方案。 关键词：数字签名。整数分解，圆锥曲线 Cryptanalysis of the Digital Signature Based on the Conic Curve over LI Cheng—yuan，WANG Biao Dept．of Information Science。University of International Relations，Beijing 100091，China Abstract：Xiao Long proposed a digital signature scheme(HQ)whese security is claimed to be bases on discrete logarithms prob· lem and factorization problem simultaneously．However，because of the parameters of this digital signature∞heme is not set legit— imate，this scheme can be proved does not based Oil tWO hard problems．And adeveloped scheme，which makes the 8cheme be a cryptanalysis of signature schemes based on tWo hard problems，is give．in this thesis． Key words：signature scheme，factorization，conic curve over 0引言 目前已知的一些成熟的公钥密码方案都是基于一个难解问题的，例如离散对数问题以及整数分解问 题。而这些难解问题可能会由于所选参数的不合适使这些难题变得容易求解，使得基于他们的密码算法变 得不安全。容易想到若一个密码算法同时基于两个难解问题则会使其安全性得以增强。吴秋新等提出了 两个同时基于离散对数和大整数的素分解问题的数字签名方案，但这两方案已被董晓蕾等证明了不是真正 基于此两个难题的。肖龙等提出了一种基于环zn上圆锥曲线的新型数字签名方案(称为HQ方案)，并认 为是真正基于以上两个难题的。 本文对HQ方案进行了安全性分析。证明了该方案中的参数设置的不合理(即同时公开n及Ⅳh)能够 导致签名私钥的泄漏。之后还针对原签名方案提出了一个改进方案，使之成为真正基于两个困难问题的签 名方案。 1 HQ数字签名方案 1．1 系统参数 选定一条圆锥曲线：y2三识2一如(modn)，其中d，b E Zn，(口，n)：(6，n)=l；n=Pq；p，q为两个大素数， 595 满足(詈)=(号)=一l，且p+1=2r433，g+l=25式中r，s为素数。则曲线的阶JI、r。：lcm{I cP(。，6)I，I C。 (o，6)I}={P+1，q+1}=2rs。(1cm()为计算最小公倍数函数，I c,(a，6)I和l c。(口，6)1分别为有限域上圆 锥曲线c，(口，6)和Cq(口，6)的阶。) 1．2公私钥的产生及明文嵌入 (1)G=(石c，Yc)为曲线C。=(口，b)上的一基点，其阶N。：2rs； (2)d E z；。为签名私钥，Q=dG为签名验证公钥； (3)H(m)是对消息m的一种安全hash映射； (4)值n，M，口，b，G，Q公开，值d保密，消息m通过明文嵌入算法【31嵌入到圆锥曲线中，得到圆锥曲线 中的一个点P(m)=(石。，Y。)，其中 ‰=击mod凡，)，．=等modn 1．3签名过程 (1)随机或伪随机地选择一个整数kEz矗； (2)计算P(m)0 kG=(名。，Y。)，y-----X，modN．，如果7=0，则返回(1)； (3)计算6=k+ydmodN。，如果8=0，则返回到(1)； (7，∞是签名者对消息m的签名，这里7，占均取Ⅳ。的最小非负剩余。 1．4验证过程 X=SG0(-yQ)④P(m)=(x。，Y。)，如果X=(0,0)，则拒绝这个签名，否则，计算口=茗。modN．，当且仅 当缈=y时接受这个签名。 1．5签名验证证明 如果(y，6)是签名者对消息m的签名，则6=k+ydmodⅣ^，从而X