专利名称:一种基于新难题的轻量级消息摘要提取方法
技术领域:
消息摘要提取方法(也称为单向散列算法或杂凑算法,缩写为Hash)属于密码技术和计算机技术领域,是数字签名、身份认证、电子金融安全、电子商务安全、电子政务安全的核心技术之一。
背景技术:
密码技术的发展经历了古典密码技术、对称密码技术和公钥密码技术三个阶段。 1976年,美国学者Diffie和Hellman提出公钥密码的思想,标志着公钥密码技术的来临。公钥密码技术包括加密和数字签名两部分。常用的数字签名方案有RSA、ElGamal 和ECC等。ECC是ElGamal方案在椭圆曲线上的快速模拟实现。对一个消息进行数字签名时,为了提高签名速度,人们往往用消息摘要来取代消息。消息摘要应该能够唯一地代表该消息(相当于该消息的数字指纹),并且,对于任意两个不同的消息,消息摘要几乎是不同的。这对消息摘要提取方法提出了很高要求。目前,普遍使用的消息摘要提取方法有MD5、SHA-U SHA-256等(参见《应用密码学》,美国Bruce khneier著,吴世忠、祝世雄等译,机械工业出版社,2000年01月,第 307-320页)。这些方法均是美国人发明的。随着人们对MD5、SHA-I、SHA-256等方法越来越深入的了解以及计算机速度的越来越快,它们的安全性越来越受到挑战。更令人担忧的是,随着轻量级数字签名技术的出现,它们的使用场合已越来越受到限制,甚至,根本就不能使用。例如,当一个轻量级数字签名方案的模数长度为80比特时,上述消息摘要提取方法就是不能使用的。
发明内容
本发明用于消息摘要即数字指纹的生成,是公钥数字签名技术的基础,可广泛应用于电子金融、电子商务、电子政务、票据防伪、证书防伪和商品防伪中。本发明希望我们国家在消息摘要提取方法即Hash算法领域能够拥有自己的核心技术,以确保国家的信息安全、经济安全和主权安全,同时提高我国防范金融和税务欺诈的技术手段。本节内容略去了对有关性质和结论的证明,如果需要补上,我们将立即呈交。在本文中,乘法运算“xXy”简写成“xy”,“ % ”代表模运算mod,"gcd(x, y) ”代表最大公约数,“ 11X11 ”代表元素M的阶,“一”表示变量的赋值,“E”表示两边对模数求余相等,“V”表示任意选取,“ e ”表示左边变量的值属于某个区间或集合,“XI y”表示X整除 y,“x I/’表示χ不能整除y,「x1代表取χ的上整数,Igx表示χ对2求对数,参数P代表互素序列中被允许的最大素数。3.1三个基本概念3. 1. 1互素序列的定义与性质定义1 假设A1,...,Αη> 1是η个两两不同的整数,且V4+、A」(i乒j)满足gccKApAj) = 1 或者 gcd (Ai ,Aj) = H 乒 1,而W “、j e [ 1,η]有(為 / H) i ▲和⑷ / H) f Λ,则称这
些整数为一个互素序列,记为{A1; . . .,AJ,简记为{AJ。性质1:如果从{A1;...,An}中随机选取me [1,η]个元素,构造一个子序列或子集{ΑΧι,...,Α、},那么,子集积G = ΠΓ=ιΑ = A··· Axm被唯一地确定,即从G到{AXl,... , AxJ的映射是一对一的。证明略。3. 1.2杠杆函数定义2 对于素域GF (M)上的公钥体制或信息摘要提取方案,变换式中的秘密参数l(i)被称为杠杆函数,如果它具有下列特性①1(.)是一个单射函数,其定义域为[l,n],值域Ω为(1,M)的子集,这里η <M;②i和1 (i)之间的映射被随机确定,且不存在任何显性的从1 (.)到公钥的映射;③当试图从公开信息提取私有信息时,任何敌手不得不考虑Ω中元素的所有排列;④当解密或数字签名时(Μ需取值适当),私有信息拥有者只需考虑Ω中元素的累加和。显然,{l(i)}是在“公开”一端计算量大,在“私有”一端计算量小,它正好起到了 “杠杆”的作用。性质2(1(.)的不确定性)令C {1,...,邳、Ci ^ AiW1⑴(% Μ) (i = 1,···, n),则邳和办、少、ze [l,n]附带ζ乒x、y,有①当ι (χ) +ι (y) = ι (ζ)时,有φ)+m+m+m 本Φ)+m (% 鄉②当l(x)+l(y)兴l(z)时,总存在Cx = A' xff' " (χ) ,Cy = A' yff' (y)和 Cz 三 A' zff' " (ζ) (% Μ)满足/'(τ)+ f(y) = f(z) (% 砀且 k' z 彡 P。证明略。3. 1.3比特影子串设消息的二进制表示Sb1... bn。定义3 令bp . . bn兴0是一比特串,按以下规则生成的I2l. · · b 被称作比特影子串若bi = 0,则I = ο ;若bi兴0,则I2i等于bi前面连续0的个数加1 ;若bi是最右边的 1,则b等于h前后连续0的个数加1。例如,若!^···!^- 100001011100,则 h” · — 100005021300。不难理解,有Σ;:力“。性质3 令{A1;...,AJ为一个互素序列,b... I2nSb1... bn#0的比特影子串,则从b” · · bn到Π;=,的映射是一对一的。证明略。3. 1. 4非范子集积难题设b” · · bn为一个消息,IC1, ...,CJ为一个非互素序列。定义4 已知IC1, ...,CJ和山JA归ΓΙ;=, C产(% M)求原始的W . . bn被称为非范子集积难题(Anomalous Subset Product Problem, ASPP)。
4
性质4 =ASPP在计算难度上至少等价于同一素域中的离散对数难题(DLP)。证明参见 Asymptotic Granularity Reduction and Its Application 一文 (Theoretical Computer Science, vol. 412(39), Sep.2011, pp.5374-5386. Shenghui Su, Shuwang Lii, and Xiubin Fan)。需要进一步说明的是,目前,人们并没有找到ASPP的亚指数时间算法。3. 2本发明的技术方案注意在本文中,序列{A1; ...,AJ有时简写成{AJ,序列IC1, ...,CJ有时简写成{CJ,杠杆函数{1 (1),· · ·,1 (η)}有时简写成{1⑴}。本发明是一种基于非范子集积难题的消息摘要提取方法,简称JUNA单向散列算法。消息摘要类似于数字指纹,被用于数字签名技术中。由于该方法可以把比特长度不大于4096的消息转化为比特长度在80至160之间的消息摘要,因此,它被说成是轻量级的。消息摘要提取方法(即单向散列算法)一般需要满足下面几个性质①单向性给定消息w和摘要提取方法hash,求d = hash (w)容易,但反过来给定 d和hash,求w = hash—1 (d)在计算上是不可行的;②弱无碰撞性给定消息W,要寻找另一个有意义的消息W',满足hash(w')= hash (w)在计算上是不可行的;③强无碰撞性要寻找任意两个不同的消息w和W',满足hash ) = hash (w) 在计算上是不可行的。有时,第③个性质对于用户来说是可选的。根据该方法,可制造初始值生成芯片和消息摘要提取芯片,或者开发初始值生成软件和消息摘要提取软件等。因此,本发明是一种制造消息摘要提取产品所必须遵循的基本原理与技术方案,而不是物理产品本身。本技术方案,由初始值生成和消息摘要提取等两部分组成。3. 2.1参数说明设η为消息(也可以是另一个单向散列算法的输出)的比特长度,m为消息摘要的比特长度,且m < η和η < 4096。令Λ = {2,3,· · ·,Ρ}和 Ω 来自{+/-5,+/_7,· · ·,+/-(2η+3)},其中 P 彡 65537, 符号+/_意味着‘ + ’或‘_’被选取。集合Λ和I Ω I是公开的,这里I Ω I是Ω中元素绝对值的集合,但Ω对于公众来讲是未知的。CA(Certificate Authority)证书中心代表公钥基础设施中第三方权威机构,它生成有关消息摘要提取方法的初始输入值,且中间变量值不对外公布。3. 2. 2初始值生成部分初始值生成部分供CA证书中心使用,可以仅用一次,用来产生一个非互素序列, 其实现方法是(1)随机产生互素序列{、,···,AJ且每个Ai e Λ(2)寻找一个素数M附带「lg Ml w并满足Ml 2是素的,或V q e (1, 2n(2n ) 3))有gcd( ,Ml 2) - 1(3)任选 δ ,We(\, Μ)使得 gcdO , Μ) = 1 和 |ff| 彡 2n_18
(4)随机选取 1(1),... , l(n) e Ω 且V / ,有 1 ⑴乒 1 (j)(5)对于 i = 1,· · ·,n,计算 Ci 一 (AiW1 ⑴)5 % M最后,得到非互素序列IC1, ...,CJ和模数M冲间值{AJ、{l(i)}、W、δ可以丢弃,但不得外泄。定义5:从CiE (AiWiai) δ (%Μ)寻找原始的{Aj、{l(i)}、W、δ被称为多变量排 ^ljXtH (Multivariate Permutation Problem, MPP) 性质5 =MPP在计算难度上至少等价于同一素域中的DLP。证明略。3. 2. 3消息摘要提取部分消息摘要提取部分既供数字签名方使用,也供身份验证方使用。假设IC1,...,Cn}是初始值^是模数……比是!!比特的一个消息。则消息摘要提取部分的实现方法是(1)置过一1,k — 0,i — 1(2)若、=0,令B 1上一0,否则做叙—Λ — 1,k 一 0,dCib· % M⑶令 i 一 i+1⑷若i彡n,转至O)(5)若 bn = 0,做么 _ 4 <—么—f /t, d — d (Cn_k)k % M最后,消息摘要1 ;=,C产(% Μ)被得到,它的比特长度为m,小于η。注意,性质4保证了 d的单向性d本身的结构保证了 d的弱无碰撞性、3. 2. 2节有助于d的强无碰撞性。3. 3优点和积极效果3. 3. 1安全性高性质4保证了消息摘要d的单向性,性质5保证了私有值不可能被推导出、且有助于消息摘要d的强无碰撞性。特别需要指出的是,由于δ e (η,Μ)是相当大的,因此,企图利用连分式方法攻击私有值也是不可行的。3. 3. 2摘要长度较短当消息的比特长度不大于4096时,消息摘要的比特长度在80和160之间,相对 MD5、SHA-U SHA-256等单向散列算法来说,是较短的。3. 3. 3运算速度较快本方法的初始值只需要生成一次,且不是实时的,因此,初始值生成部分的时间复杂性可以不考虑。本方法的消息提取操作只需做0 (η)个模乘运算,与η < 4096是线性相关的,相对来说,还是比较快的。3. 3. 4技术可以公开本发明的实现技术完全可以公开,提取算法的初始值也可以完全向外界公开发放。只要私有值不泄密,就可以基本保证消息摘要的强无碰撞性。3. 3. 6对国家安全有利
互联网是一种开放网,显而易见,在上面传输的各种信息必须进行加密。由于我国政府、国防、金融、税务等重要部门业已使用互联网作为通信工具,因此, 信息安全关系到国家主权安全和经济安全。从密码制衡的角度来讲,一个泱泱大国的信息安全不能建立在外来的密码方案基础之上,因此,研究我们完全自主的、原始创新的消息摘要提取方案、公钥加密方案和数字签名方案显得势在必行、刻不容缓和具有重大意义。
具体实施例方式基于非范子集积难题的轻量级消息摘要提取方法包括两个部分,其特点是它能够产生一个公开的初始值,且从该初始值推导不出中间值,这样,该初始值有助于消息摘要的强无碰撞性。更为重要的是,该方法输出的摘要长度非常短,但同时又满足安全需求。每个用户可以到指定的CA证书中心取得一个初始值。CA证书中心是对用户进行登记、管理,并对初始值进行产生和分发的一个机构。它利用初始值生成方法输出用于消息摘要提取的一个非互素序列。本消息摘要提取方法可以用逻辑电路芯片或程序语言来实现,它包括两部分① 根据3. 2. 2节开发出初始值生成芯片或软件模块,由CA证书中心使用;②根据3. 2. 3节开发出消息摘要提取芯片或软件模块,由数字签名用户和身份验证用户使用。
权利要求
1. 一种基于新难题的轻量级消息摘要提取方法,由初始值生成和消息摘要提取两个部分组成,初始值生成部分供第三方权威机构用来产生一个公开的非互素序列,消息摘要提取部分供数字签名方和身份验证方用于提取一个消息的摘要,摘要的长度不大于160比特,其特征在于 初始值生成部分采用了下列步骤1)随机产生互素序列IA1,· ·,AJ且每个Ai e A2)寻找一个素数M附带「lgMlm并满足Ml 2是素的,或V2"(2" 4 3)洧gcd(9,Ml 2) 二 13)任选δ,炉 e (1, M)使得 gcdp, Μ) = 1 和 |ff| I ^ 2n_184)随机选取1(1),... , 1 (η) e Ω且V /有1⑴乒1 (j)5)对于i = 1,· · ·,n,计算 Ci 一 (AiWiaj) 5 % M最后,得到非互素序列IC1,...,Cn}和模数M,中间值{AJ、{l(i)}、W、δ可以丢弃,但不得外泄; 消息摘要提取部分采用了下列步骤假设{C” ...,CJ是初始值,M是模数,针对η比特的一个消息b” . . bn做(1)置d— l,k —0,i — 1(2)若、=0,令Α+ ι Ubi 一 0,否则做叙—k \ 1, k — 0,夕―dC,b' % M(3)令i — i+1(4)若i彡n,转至O)(5)若bn = 0,做么 ι—么ι —最后,得到消息摘要山它可用于数字签名或身份验证。
全文摘要
一种基于新难题的轻量级消息摘要提取方法,属于密码技术和计算机技术领域;包括初始值生成和消息摘要提取两个部分;初始值生成部分供第三方权威机构用来产生一个公开的非互素序列,消息摘要提取部分供数字签名方和身份验证方用于提取一个消息的摘要,即数字指纹;消息的长度不大于4096比特,摘要的长度不大于160比特,是单向的、弱无碰撞的和被期待强无碰撞的;该方法具有摘要短、安全性高、计算速度快、技术可以公开等特点,可用于数字签名和身份验证,进而,可用于电子金融、电子商务和电子政务。
文档编号H04L9/32GK102394750SQ201110331258
公开日2012年3月28日 申请日期2011年10月27日 优先权日2011年10月27日
发明者吕述望, 苏盛辉, 蔡吉人 申请人:吕述望, 苏盛辉, 蔡吉人