本发明专利技术提出了一种用于具有消息恢复的数字签名的认证加密的框架,由此实现认证而无冗余要求。通过使用认证加密来修改椭圆曲线Pintsov-Vanstone签名方案,从而使用消息认证码(1028)来实现认证。认证加密可以在单一函数中执行,或者作为两个分离的函数执行。还可以将认证加密应用于要签名的消息(104)中的关联数据。
【技术实现步骤摘要】
【国外来华专利技术】具有消息恢复的数字签名的认证加密
本文描述的技术总体涉及密码签名,且具体地涉及具有消息恢复的密码签名的产生和使用。
技术介绍
传统密码签名方案可以用于提供(I)确保签名者的身份,以及(2)确保接收到的消息在传输期间未被改变。典型地,签名者产生针对消息的不可伪造的签名,使得接收者随后可以验证签名以认证签名者的身份和消息的来源。一般地,期望较小大小的密码值,因为其可以降低存储和传输要求。基于椭圆曲线离散对数问题的难解性的签名方案,如椭圆曲线数字签名算法(ECDSA),例如在“AmericanNational Standard for Financial Services ANS X9.62-2005:Public Key Cryptographyfor the Financial Services Industry-The Elliptic Curve Digital SignatureAlgorithm(ECDSA) ”,Accredited Standards Committee X9, Inc., 2005 描述的,可以实现使用比其他密码方案(如Rivest Shamir Adleman (RSA)算法,例如在“PKCS#lv2.1:RSACryptography Standards”,RSA Laboratories, 2002 中描述)更小的签名,同时仍提供相同水平的安全性。具有部分消息恢复的数字签名,例如Nyberg等在“Message Recoveryfor Signature Schemes Based on the Discrete Logarithm Problem,,,Advances inCryptology-Eurocrypt ‘94, Springer Verlag, New York, 1994 中描述的,也可以通过在签名值内嵌入消息的一部分(隐藏部分)来降低[消息,签名]对的传输要求,同时不增加签名的大小。例如,消息的嵌入部分可以包括发送者的地址或对接收者的地址的确认。椭圆曲线Pintsov-Vanstone签名(ECPVS)方案是具有部分消息恢复的数字签名方案的示例。ECPVS 方案例如在“American National Standard for Financial Services DraftX9.92-2007-02-21:Public Key Cryptography for the Financial Services Industry,Digital Signature Algorithms Giving Partial Message Recovery Partl:EllipticCurve Pintsov-Vanstone Signatures (ECPVS),,,Accredited Standards Committee X9,Inc.,2007以及由Vanstone等在美国专利N0.7,249,259中更详细描述。在ECPVS中,可以将要签名的消息的全部或部分嵌入或“隐藏”在签名中并从签名中恢复。该方案还可以用于通过添加将签名者的公钥保持秘密的限制来提供一定水平的机密性,使得只有拥有公钥的各方可以验证签名,且因此仅它们可以计算消息的隐藏部分。为了能够验证ECPVS签名,要签名的消息的隐藏部分具有由签名者选择并由验证者达成一致的预定义特性。例如,隐藏部分可以包含特定水平的冗余,验证者检查该特定水平的冗余以验证签名。冗余允许将消息的隐藏部分识别为属于有效明文集合。给定充分的冗余,伪造者应当不能产生满足所有准则的签名。消息的隐藏部分中存在的冗余越多,安全性水平越高,并且要发送的已签名的消息越长。
技术实现思路
本文提出了一种在具有消息恢复的数字签名中使用认证加密的框架,由此修改ECPVS方案以移除针对要签名的消息的隐藏部分的冗余准则。本文提出的框架通过将ECPVS中传统使用的加密替换为认证加密,来增强具有真实性的常规对称密钥加密的安全性。所提出的框架可以应用于签名产生和签名验证。在一个示例中,一种认证加密-Pintsov Vanstone (AE-PV)方案使用认证加密(AE)函数来加密要签名的消息的隐藏部分,同时对隐藏部分创建消息认证码(MAC),该MAC应当由验证者用来验证已签名的消息。在另一示例中,一种“MAC然后加密”-Pintsov Vanstone (ME-PV)方案使用MAC函数来获得要签名的消息的隐藏部分的MAC,接着使用加密函数来加密隐藏部分和MAC的组合,使得该MAC可以由验证者用来验证已签名的消息。在变型中,一种“加密然后MAC'-Pintsov Vanstone (EM-PV)方案先使用加密函数来加密已签名的消息的隐藏部分,接着使用MAC函数来获得加密结果的MAC。在另一示例中,一种具有关联数据的认证加密-Pintsov Vanstone (AEAD-PV)方案使用具有关联数据的认证加密(AEAD)函数来加密消息的隐藏部分并对隐藏部分以及消息中的非加密关联数据创建MAC,从而允许认证隐藏部分和关联数据。附图说明附图中的图用于以示例而非限制方式进行说明。图中相似的附图标记指示相应、类似或相似的元素。图1是针对签名者和验证者的示例认证加密签名方案的简化框图;图2是将签名应用于消息以产生已签名的消息的第一示例方法的简化流程图;图3是验证由签名者签名的已签名的消息的第一示例方法的简化流程图;图4是将签名应用于消息以产生已签名的消息的第二示例方法的简化流程图;图5是验证由签名者签名的已签名的消息的第二示例方法的简化流程图;图6是将签名应用于消息以产生已签名的消息的第三示例方法的简化流程图;图7是验证由签名者签名的已签名的消息的第三示例方法的简化流程图;图8是将签名应用于消息以产生已签名的消息的第四示例方法的简化流程图;图9是验证由签名者签名的已签名的消息的第四示例方法的简化流程图;以及图10是示例签名者设备和示例验证者设备的简化框图。具体实施例方式尽管使用椭圆曲线上的点的群来实例化本文描述的签名方案,但是备选地可以使用任何有限循环群来实例化本文描述的签名方案,例如;P的子群,模素数P的整数的子群。在这种情况下,群的阶可以是P-1,生成元G产生η阶的子群,其中η整除p-Ι。传统上,以乘法形式书写二P的子群中的算术,其中两个元素P和Q的乘积为PQ,且在椭圆曲线群中与整数k的标量乘法对应于求幂,即Pk。基于椭圆曲线密码(ECC)的协议依赖于椭圆曲线离散对数问题的难解性。给定椭圆曲线E上的公开知晓的点G和Q,其中点Q等于标量乘法因数d与点G的乘积,即Q =dG,可以推测非常难以确定标量乘法因数d。利用已知算法,解决该问题的计算难度随G产生的子群的大小呈指数增长。为了实现基于ECC的协议,所有参与者就椭圆曲线的域参数达成一致。在素数有限域^上定义的椭圆曲线E,即£1 ),由椭圆曲线域参数D = (p,a,b,G,n,h)来定义,其中P是表示域中的元素数目的奇素数,整数a和b是满足例如4a3+27b2 Φ O (mod p)(然而由另一方程指定的曲线可以是合适的)的素数有限域%的元素,G是具有η阶的椭圆曲线£(%)上的基点或生成元,以及余因子本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.10.15 US 61/393,7441.一种将签名应用于原始消息M(104)以产生由签名者(100,1000)签名的已签名的消息(106,1036)的方法,所述原始消息M(104)由第一部分N(1020)和第二部分V (1022)组成,所述方法包括: 选择第一整数值k(1016)并根据第一整数值k(1016)和椭圆曲线的基点G来计算第二值Q (1018),使得第二值Q (1018)包括在所述椭圆曲线上的点的集合中; 通过将密钥导出函数KDF应用于包括第二值Q(IOlS)的输入来构造导出密钥Iq (1024); 将以导出密钥1^(1024)为密钥的认证加密函数应用于消息M(104)的第一部分N(1020)以获得加密值Cl(1026)并获得消息认证码mac (1028); 将加密值(^(1026)和消息认证码mac (1028)可逆组合,以形成第一签名分量c (1030); 使用以下各项来计算第二签名分量s (1032): ⑴第一整数值k(1016); ( )签名者(100,1000)的私钥dA (1012);以及 (iii)第二整数值,其依赖于第一签名 分量c(1030)和消息M(104)的第二部分V(1022);以及 将第一签名分量c (1030)、第二签名分量s (1032)和消息M(104)的第二部分V(1022)可逆组合,以形成已签名的消息(106,1036), 其中,对所述已签名的消息(106,1036)的验证和根据所述已签名的消息(106,1036)来恢复消息M(104)的第一部分N(1020)涉及签名者(100,1000)的公钥GA(110,1014)。2.根据权利要求1所述的方法,其中,签名者的公钥Ga包括在椭圆曲线上的点的集合中,并能够根据私钥dA(1012)和基点G来计算。3.根据权利要求1所述的方法,所述方法还包括: 向验证者(102,1040)发送所述已签名的消息(106,1036)。4.根据权利要求1所述的方法,所述方法还包括: 将散列函数应用于第一签名分量c (1030)和消息M(104)的第二部分V(1022)的可逆组合,以获得散列结果;以及 计算与散列结果等价的第二整数值。5.根据权利要求4所述的方法,其中,所述可逆组合还包括签名者(100,1000)的身份。6.一种验证已签名的消息(106,1036)的方法,所述已签名的消...
【专利技术属性】
技术研发人员:马修·约翰·坎帕尼亚,丹尼尔·理查德·L·布朗,格雷戈里·马克·扎韦鲁哈,
申请(专利权)人:塞尔蒂卡姆公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。