[发明专利]基于椭圆曲线的新陷门单向函数及其用于较短签名和非对称加密的应用

说明书

技术领域

本发明涉及陷门单向加密函数以及利用此类函数的密码系统。

背景技术

陷门单向函数(TOWF)是公开可计算函数，仅一个实体可对其 反演(invert)。需要称为私钥的专用密码来计算TOWF的逆(inverse)。

TOWF的经典实例是基于M^ed≡M(mod N)这一关系的RSA函 数。公共RSA函数w计算如下：W(x)＝x^e mod N。数字e和N是公 共值。选择数字N为两个加密的不同质数p和q的积。用私钥运算w 反演RSA函数，可计算如下：W^-1(y)＝y^d mod N，其中d＝(1/e)mod (p-1)(q-1)并为私钥。

无私钥而反演RSA函数被认为是难题。对于大值的N来说，对 N因式分解得到质数p、q是计算上不可实行的，而因此私钥w＝ (p-1)(q-1)也保持秘密。实际中，当前所作的许多在线银行业务的安全 性依赖于无私钥则难以反演的RSA函数。换句话说，人们通常认为 RSA是TOWF。

作为TOWF，RSA函数可用作执行数字签名和公钥加密的密码系 统的基础。为了用陷门单向函数W对消息M数字签名，需要利用私 钥运算W^-1和公共散列函数H计算S＝W^-1(H(M))。散列函数有两个 用途：将M压缩到W^-1可处理的摘要(digest)大小，以及防止一些潜在 攻击，这些潜在攻击涉及从一条消息签名向相关的但未授权的消息的 转换。为了用陷门单向函数检验消息M的签名S，需要核查H(M)＝ W(S)。

用TOWF进行公钥加密有点与签名相反。不进行散列，而使用编 码方案E。为了对消息M加密，需要计算密码C＝W(E(M))。为了对 密码C解密，需要计算M＝E^-1(W^-1(C))。编码函数用于使M适合应 用于W所需的大小，并且防止某些种类相关消息的攻击。

一种可选的密码系统针对离散对数问题的难点而建立。将安全性 建立在离散对数问题的基础上的特别牢固的密码系统利用椭圆曲线， 并且与RSA TOWF密码系统相比具有减小的带宽的优势。

尽管与RSA TOWF密码系统相比椭圆曲线密码系统减小带宽， 其在保持现有系统的理想属性的同时仍需要使带宽最小化。而且 TOWF不依赖随机数发生器，因此即使所需带宽较大，在某些环境下 更易于执行。

因此本发明的目的是提供一种TOWF密码系统来消除或减轻上 述的缺点。

为了便于理解本发明的基本原理，下面回顾一下这些原理的数学 基础。

椭圆曲线E是满足椭圆曲线定义方程的点(x，y)的集合。定义 方程对y是二次方的和对x是三次方的，并且是非奇异的。坐标x和 y是域的元素，是可被加、减、乘和除(0除外)的一组元素。域的 例子包括有理数和实数。还有有限域，它们是密码系统中最常用的域。 有限域的例子是以质数q为模的整数集。

不失一般性，椭圆曲线的定义方程可为Weierstrass形式。当域F 取自以质数q＞3为模的整数时，那么Weierstrass方程采取这种形式 y²＝x³+ax+b，其中a和b是域F的元素。

椭圆曲线E包括点(x，y)和另一点即无穷点(point at infinity)O， 其中点(x，y)是定义方程的所有解。椭圆曲线E还有群结构，意指在曲 线上的两个点P和Q可做加法而形成第三点P+Q。点O是群的恒等 式，意指对所有的点P，有P+O＝O+P＝P。加法是结合的，因此P +(Q+R)＝(P+Q)+R，并且是可交换的，因此对所有的点P、Q和R， 有P+Q＝Q+R。每一点P有负点-P，使得P+(-P)＝O。当曲线方程 是y²＝x³+ax+b形式的Weierstrass方程时，P＝(x，y)的负点很容易 确定为-P＝(x，-y)。根据坐标对点P和Q做加法的公式只适度复杂， 只涉及少量定义E的域中的域运算。