[发明专利]生成针对消息的签名的方法和装置以及验证这种签名的方法和装置

说明书

技术领域

本发明总体上涉及密码术，更具体地涉及不依赖于随机预言的在线/离线签名方案。

背景技术

本节旨在向读者介绍与以下描述和/或要求保护的本发明的各个方面有关的现有技术的各个方面。相信此处的讨论有助于向读者提供背景知识，以便读者能够更好的理解本发明的各个方面。因此，应当理解的是应该据此阅读这些说明，而不应将其视为对现有技术的认可。

在线/离线签名方案允许数字签名的2-阶段生成。在获知要签名的消息之前，可以执行成本较高的计算；这是离线阶段。一旦获知该消息，则在在线阶段中执行相对快速的计算。本领域技术人员将理解，限制时间型的应用(例如，电子支付，或者在驶向自动收费亭时)需要这种特性，并且不具有太多计算资源的低成本设备也需要这种特性。

在“On the Fly Authentication and Signature Schemes Based On Groups of Unknown Order”Journal of Cryptology，19(4)：463-487，2006中，M.Girault、G.Poupard和J.Stern提出了被称作GPS方案的在线/离线签名方案。该方案的缺陷在于，其安全保障在于随机预言模型。

由B.Chevallier-Mames和M.Joye在M.Abe(编辑)的“A Practical and Tightly Secure Signature Scheme Without Hash Function”，Topics in Cryptology-CT-RSA 2007，volume 4377 of Lecture Notes in Computer Science，pages 399-356，Springer-Verlag，2007中提出了标准模型中的一种在线/离线签名方案(即，不依赖于随机预言)。这种方案的缺陷在于，其参数、公钥和私钥的大小，以及作为结果的签名的大小(在离线和在线阶段皆如此)。此外，应当注意，签名大小的增大导致计算、存储和传输的效率损耗。

K.Kurosawa和K.Schmidt-Samoa在M.Yung等人的“New On-line/Off-line Signature Schemes Without Random Oracles”，Public Key Cryptography-PKC 2006，volume 3958 of Lecture Notes in Computer Science，pages 330-346，Springer-Verlag，2006中提出了标准模型中的另一种在线/离线签名方案。这种方案的缺陷在于，在线阶段涉及模乘法，其比整数乘法成本更高。

Marc Joye和Hung-Mei Lin在“On the TYS Signature Scheme”中提出了其他在线/离线签名方案。这些方案是原始形式和修改后形式的Tan-Yi-Siew(TYS)签名方案。

原始TYS方案首先生成公钥和私钥。选择两个随机素数p＝2p’+1和q＝2q’+1，其中，p和q’是素数，并且，log₂ p’q’＞2I+1，N＝pq。选择中的两个二次剩余g和x，使得g的秩是p’q’。最后，选择随机I比特整数z，并计算h＝g^-zmod N。公钥是pk＝{g，h，x，N}，并且私钥是sk＝{p，q，z}。m表示要签名的消息。随机挑选出I比特整数k和I比特素数e，并且计算以下值：y＝(xg^-k)^1/e mod N、c＝H(pk，y，m)和t＝k+cz。则与消息m相关的签名是σ＝(t，y，e)。然而，作者发现TYS方案是完全不安全的，并因此提供了修改的方案。