一种新颖的非对称密码模式,可用于加密签名和鉴别。该模式基于具有有限域K中的值的低阶公开多项式方程。该机制不需要必须为双射的。保密密钥使之能用环K的扩充中的值隐藏多项式方程。如果有了私有密钥,解这些方程式就能执行只用公开密钥不可能执行的操作。(*该技术在2016年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及一种非对称,用于在对话者之间处理消息和保护通信。该方法用于非对称地加密或标识消息,也可用于非对称的鉴别。众所周知的第一个解决方案是在1977年提出来的。这个解决方案是由专利技术者Rivest、Shamir和Adleman于1977年12月14日提出申请的美国专利4405829的主题。该方法通常称为RSA,这是根据其专利技术者的名字而取名的,该方法使用了两种密钥。第一个密钥(Kp)用于消息加密,而第二个密钥(Ks)则用于解密。该为全世界所熟知的方法是非对称加密的基础,之所以这样叫是因为用于加密和解密的密钥不同。在同一网络中,每个成员(i)具有一对密钥。第一个(Kpi)是公开的,因此可以被任何人所知道;而第二个(Ksi)是保密(secret)决不能用于通信。在同一网络中的两个对话者(1)和(2)之间的加密通信按以下的方式进行首先,(1)和(2)互相交换其公开密钥(Kp1)和(Kp2);然后,当(1)希望把消息加密,并且一旦该消息被(2)接收到,只能借助(2)所持有的保密密钥(Ks2)解密加密M’=RSA(M,Kp2)解密M=RSA(M’,Ks2)当(2)希望送消息给(1)时,用属于(1)的公开密钥(KP1)对其加密,而用自己的保密密钥(Ks1)解密。RSA方法也可用于签名用某人的保密密钥对消息加密,然后把称为签名的被加密消息和采用不加密形式的消息一块发送;消息的接收者要求确认该人的公开密钥,并用其对签名解密;如果被解密的文本对应不加密的消息,则该签名被确认。这种存在若干缺陷。所需处理的数字很大(目前一般为512位),这需要进行大量的计算,而导致签名很长。而且,如果在因子分解方面取得新的突破,RSA的安全性将受到损害。已经提出的用于执行非对称加密或消息签名功能的还有其它非对称,例如使用基于“背包”的算法或MATSUMOTO-IMAI算法。然而,这两种算法都已经被表明其安全性程度并不完全令人满意。本专利技术提出的方法不存在这两种算法的缺陷,而且还保留了它们的某些优点。本专利技术使用了一种新颖的算法,称为“隐域算法”或HFE(隐域方程),象RSA一样,可用于鉴别、加密和签名等功能。然而,RSA主要基于对大的数字分解因子的问题,而HFE算法则基于一个完全不同的问题解多变量低次方程(通常为2次或3次)。必须注意的是,MATSUMOTO-IMAI算法也具有这种特性,但正如已经指出的是,这种算法已经被表明其安全性程度是不能完全令人满意的,这使之不适于用在中。本专利技术的作者也是发现MATSUMOTO-IMAI算法在加密上不可靠的人。对HFE算法的这种可靠性有贡献的新颖因素包括该算法不需要求一一对应(bijective),以及可以使用很一般的多项式方程。本专利技术的另一个优点是,HFE算法具有计算超短签名(小于200位)的能力,而且目前已知的最短非对称签名为220或320位的数量级(借助SCHNORR算法或DSS算法得到的,这些算法只能用于签名或鉴别,不能用于加密/解密)。当使用RSA方法时,最好至少用512位。定义1.环A的N阶“扩展(extension)”为任一同构(isomorphic)代数结构A〔X〕/g(X),其中,A〔X〕为具有A上的一个未知数的多项式的环,g(X)为n次多项式。一种特别有利的情况是,A为有限域Fq,g为Fq上的一个n次不可约多项式。在这种情况下,A〔X〕/g(X)为Fqn的有限同构域。2.n阶A的扩展Ln的“基”为Ln,(e1,e2,…,en)的n个元素族,这样,Ln的每个元素e所用下面的式子唯一表示e=Σi-1nαieia∈A.]]>为此,本专利技术涉及一种,将有限环(K)的多个元素(n)表示的值(X)转换为该环(K)的多个元素(n’)表示的映射值(Y),其特征在于a)映象值(Y)的每个元素(n’)采用次(D)公开多项式方程的形式,这是一个由值(X)的n个元素组成的大于或等于2次(通常D=2或3)的多项式;b)映象值(Y)也可通过对值(X)进行变换而得到,该变换包括下面步骤,至少其中的某些步骤需要加密的知识b1)对值(X)进行由值(X)的(n)元素组成的次数为1的第一加密多项式变换(s),以便得到有(n)个元素的第一映射(I1);b2)形成一个或多个分支,每个分支由第一映射(I1)的元素组成(例如,第一分支包括I1的前n1个元素,第二分支包括随后的n2个元素等等,或者,同一元素可以出现在几个分支中),并且·在至少一个分支(e)(或可能全部分支)中,分支的(ne)个元素被认为是表示属于环(K)的W次扩展(Lw)的一个变量或少数(k)变量(x,x’,x”,…,xk), 满足W*k=ne’,并至少对该分支(e)进行一个如下定义的变换feLwk→Lwk(x,x’,x”,…,xk)→(y,y’,y”,…,yk)注意,(y,y’,y”,…,yk)为经变换fe’得到的(x,x’,x”,…,xk)的映射,fe证实了下面的两个性质-b2.1)在环扩展(Lw)的基中,映射(y,y’,y”,…,yk)的每个分量用曲该基中(x,x’,x”,…,xk)的分量组成的多项式表示,该多项式的全部次数≤公开多项式方程的次数(D)。-b2.2)用环扩展(Lw)表示变换(fe),使之能够(也许除了某些项这些项的数目对于项的总数是微不足道的)计算出(fe)的前几项(antecedents)(如果存在的话),(这种计算在ne很小时可采用穷搜索法,或使用解有限环中这类多项式方程的数学算法);·对其它可能的分支,进行次数小于等于其值在环(K)中的分量形成的次数(D)的多项式变换;b3)将次数≤(D)的(保密或公开的)多项式加到刚被变换的分支的或其它分支的输出上,该多项式只依赖直接位于该分支前面的分支的变量(这一步不是必须执行的;所加的可以是空多项式)。b4)对刚被变换的分支,或刚被变换的多个分支并置(即分组),构成第二映射(I2);b5)对第二映射(I2)进行第二加密多项式变换(t),该变换由第二映射(I2)的元素组成且次数为1,以便得到具有预定元素数目的第三映射(I3);以及b6)从第三映射(I3)的元素集合中选择(n’)个元素,形成映射值(Y)(例如第一个;或者在某些变式中,选择I3的所有元素,在这种情况下Y=I3)。本专利技术还涉及使用上述通信方法非对称名确认方法和非对称鉴别方法。本专利技术的其它细节和优点将在下面的几个优选但又非限定的实施例中结合附图加以描述,在附图中附图说明图1表示用于处理消息的多个变换的并置;图2表示用于执行消息加密/解密过程的通信设备;以及图3表示同一设备,用于执行消息的签名及其确认。在提出本专利技术之前,首先简单回顾和有限域的性质有关的数学概念。有限域的描述和性质1)函数f设K为基q和特征p的有限域(通常,但不必要,q=p=2),LN为K的N次扩展,βi,j,αi和μo为Ln的元素,θi,j,ψi,j和ξi为整数,并且识f为下面的应用fLN→LNX>→Σi,jβi,j*XQ+P+Σidi*Xs+μo]]>其中,Q=qθi,j,本文档来自技高网...
【技术保护点】
一种密码通信的方法,将由有限环(K)的(n)个元素表示的一值(X)变换为由该环(K)的(n’)个元素表示的一个映象值(Y),其特征在于:a)映象值(Y)的每个元素(n’)采用由值(X)的元素(n)组成的,具有≥2的低次数(D)的一种公开多项式方程的形式;b)映象值(Y)也可以借助包括下面步骤的变换从值(X)中得到,至少其中的一些要求加密的知识:b1)将由值(X)的元素(n)组成的次数为1的第一个保密多项式变换(S)应用到值(x)上,以便得到具有(n)个元素的第一映象(I1);b2)第一映象(I1)的(n)个元素被认为是代表属于环(k)的W次扩展(Lw)的变量(x,x’,x”,…,xk)中的一个变量或一小部分(k)变量,满足W*k=n,将如下定义的变化作用到第一映象(I1)上:f:Lwk→ Lwk(x,x’,x”,…,xk)→(y,y’,y”,…,yk)应注意(y,y’,y”,…,yk)是(x,x’,x”,…,xk)经变换f得到的映象,已知f证实了下面的两个特性:-b2.1)在环的扩展(Lw)的基(B)中,映象(y,y’,y”,…,yk)的每个分量采用由在该基中(x,x’,x”,…,xk)的元素组成的多项式的形式表达,该多项式的总次数≤所述公开多项式方程的次数(D);-b2.2)用环的扩展(Lw)表达变换(f),使之能够计算存在的(f)的前提,除了对某些项,其数目相对于项的总数来说是微不足道的;b3)经这样变换的第一映象(I1)构成了第二映象(I2);b4)将由第二映象(I2)的元素组成的、次数为1的第二保密多项式变换(t)作用到第二映象(I2)上,以便得到具有预定数目元素的第三映象(I3);并且b5)从第三映象(I3)的元素集合中选择(n’)个元素,以便形成所述的映象值(Y)。2.如权利要求1所述的方法,其中,公开多项式等式的所述低次数(D)等于2。...
【技术特征摘要】
...
【专利技术属性】
技术研发人员:加库斯帕塔林,
申请(专利权)人:CP八川萨克公司,
类型:发明
国别省市:FR[法国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。