论文部分内容阅读
云计算、大数据及互联网技术的发展,使我们快速进入了信息化社会,我们的工作、学习及生活已经处处离不开信息网络,信息安全的保障已成为社会的基础性需求,密码技术是信息安全的核心与支撑,对保障社会的正常运行起着关键性作用。现在网络信息系统中使用的主流公钥密码体制的安全性基于大整数分解或离散对数问题求解的困难性。然而,早在上世纪90年代,麻省理工学院教授Peter Shor就提出了可以在多项式时间求解大整数分解问题和离散对数问题的量子算法(现在称为Shor算法)。由于当时量子计算和量子计算机技术处于比较低的水平,并未引起足够重视。但是,一旦Shor算法能够真正运行,大整数分解问题和离散对数问题不再难解,现在的公钥密码体制将不再安全。近年来,随着量子计算的发展和量子计算机制造技术的进步,Shor算法逐渐对现在的公钥密码体制构成实际的威胁,抗量子密码体制的设计迫在眉睫。2016年美国国家标准技术研究所(NIST)开始在全球范围内公开征集抗量子密码算法标准,极大地推动了抗量子密码算法的研究。在抗量子密码算法中,基于格的密码体制被广泛认为最有希望成为标准算法。在公钥密码体制中,数字签名算法是非常重要的一类算法,不但是建立公钥密码基础设施的核心技术还可以用于对消息的各种认证。身份鉴别协议则是各类信息系统安全工作的基本保证。本文主要研究Fiat-Shamir框架下的基于格的强指定验证者签名方案及Stern类型的基于格的身份鉴别协议的设计方法。在保证安全性的同时,注重协议的效率与实用性。为方便叙述,我们引进如下参数,m,n分别为格的维数和秩,其中格点取自Zq,q为素数。本文包含如下3个研究成果:1.在FSwA框架下,我们基于R-SIS问题设计了一种高效的强指定验证者签名方案.现有的强指定验证者签名方案都是基于hash-and-sign框架构造的,不可避免地存在三个缺点。首先,在hash-and-sign框架下基于SIS问题构造的方案需要依据陷门基生成算法和原像陷门采样算法完成签名,而算法成立对格维数要求是m ≥5nlogq.相比SIS问题成立的格维数要求m≥nlogq,维数显著增大,这必然会引起公钥A∈Zq n×m尺寸的增大。其次,这种框架中原像陷门采样函数是利用高斯分布实现的,存在潜在的侧信道攻击。再次,目前强指定验证者签名方案设计中,使用了 Bonsai树算法,利用扩展的陷门基去计算签名,这使得签名(r,z,t)中z分量的维数从格的维数m增加到2m.为了提高签名效率和实际可用性,我们改变现有格上强指定验证者签名协议的结构,采用 Fiat-Shamir 异常终止(Fiat-Shamir with Aborting,FSwA)框架进行协议设计。具体而言,我们利用均匀采样的异常终止技术基于格上困难问题SISq,n,m,d构造方案(这里,d是SIS问题解的无穷范数),需要的维数条件是m≥2n,相同n条件下公钥尺寸要短的多。同时,我们方案使用Fiat-Shamir签名框架得到签名(r,z,t),其中r∈Zq m,z∈Zq m,t∈Zq m,不存在维数扩张。在随机谕言安全模型下,我们得到的签名尺寸是原有方案的1/100.关于重复次数,我们采用与同样使用均匀采样的格上一般签名Dilithium方案类似的计算方法,256比特安全下,所得结果为e2048β/γ≈1.28.除了上述优点,我们的方案还避免了侧信道攻击。2.我们构造了 R-SIS难解假设下基于身份的强指定验证者签名方案.目前基于身份的强指定验证者签名方案的签名(z,t),其中z ∈Zq 2m,t∈Zqm,尺寸最短为3mlog q.我们的方案是基于Fiat-Shamir格签名框架及环上SISq,n,m,d问题构造,得到签名尺寸是2mlogq+m,比现有方案签名尺寸更短。并且,我们方案使用均匀采样很自然地能够抵抗侧信道攻击。同时,基于hash-and-sign框架构造的该类签名,密钥抽取及签名算法是利用陷门基计算出相应格点进行签名,而陷门基并没有直接参与计算,因此该类方案并没有按照形式化的定义去证明匿名性。我们的方案在密钥抽取及签名算法中都是按照SIS问题直接使用私钥,得到签名满足匿名性,我们给出了其形式化证明。3.我们设计了一个基于格的低资源消耗零知识身份鉴别协议.Stern类型身份鉴别协议承诺阶段使用3个承诺值,对于随机的挑战值,验证者每次打开其中两个承诺值去验证。这种结构存在两个缺点:(1)可靠性误差大,为2/3.(2)计算量和通信量大,需要计算和传输3个承诺.考虑到缩小可靠性误差,2010年Cayrel、Lindner等人在第4届可证明安全国际会议上首次提出一种5轮Stern类型交互协议(记为CLRS方案)。该方案证明了 SIS问题的知识,其可靠性误差约为1/2且验证者对一个挑战仅需打开一个承诺值。2011年,在可靠性误差同样约为1/2的前提下,Silva、Cayrel等人(记为SCL方案)利用两个“种子”产生随机数减少了 CLRS方案的通讯量。但是,他们仍沿用了 Stern身份鉴别协议原始的三个承诺值,验证者每次打开其中的两个进行验证。本文重点研究这种Stern类型的变形结构去构造交互开销和计算量比较小的格上身份鉴别协议。我们研究发现SCL方案中第一次承诺的两个值c1和c2实际上起到相同的作用,所以在第一次承诺时,我们的方案仅使用一个承诺,同时保留第三个承诺。这样,方案一共用到两个承诺值。另外,根据保留两个承诺值的框架,不再需要计算与其中一个承诺值相关的量r2和u.在相同可靠性条件下,SCL方案总交互开销(m/2)logq+2log κ+m/2+1025,我们的总交互开销则为2log κ+m/2+833,显著缩减了证明者和验证者的计算量和整个协议的通信量。