田潤(rùn)芙，楊 旭

(1.張家口職業(yè)技術(shù)學(xué)院，河北張家口 075051；2.河北宣化縣交通局，河北張家口 075100)

0 引言

數(shù)字簽名是一種重要的信息安全技術(shù)，隨著橢圓曲線在密碼學(xué)中的應(yīng)用，人們對(duì)其進(jìn)行了大量研究，發(fā)現(xiàn)作為一種公鑰密碼，橢圓曲線密碼不僅有比較高的安全性，而且利用橢圓曲線離散對(duì)數(shù)問(wèn)題可以構(gòu)造三種基本形式的公鑰體制，即數(shù)字簽名體制、公鑰加密體制和密鑰交換協(xié)議等。1985年ElGamal提出了基于離散對(duì)數(shù)問(wèn)題的數(shù)字簽名方案，隨后對(duì)ElGamal方案的變形和改進(jìn)方案相繼被提出，這些方案統(tǒng)稱為ElGamal型數(shù)字簽名方案。1994年Harn.L.和Xu.Y.提出了設(shè)計(jì)ElGamal型數(shù)字簽名的規(guī)則，并列出了18種安全的ElGamal型數(shù)字簽名方案。[1]本文在遵循這些規(guī)則的前提下，給出了另外一種簽名方案。這種數(shù)字簽名體制是通過(guò)基于ElGamal的橢圓曲線數(shù)字簽名實(shí)現(xiàn)，通過(guò)Weil對(duì)來(lái)驗(yàn)證的。

1 基本知識(shí)與相關(guān)概念

1.1 Weil對(duì)及其相關(guān)概念

1.1.1 相關(guān)概念

定義1：設(shè)φ：E→E是橢圓曲線E上的一個(gè)非常數(shù)有理映射，P是E上一點(diǎn)，有理函數(shù)u是E在φ(P)點(diǎn)上的一致參數(shù)，稱u°φ在P點(diǎn)的階數(shù)為φ在P點(diǎn)的分歧指數(shù)(RamificationIndex)，記作eφ(P)=OrdP(u°φ) 。

eφ(P)與u的選取無(wú)關(guān)。因?yàn)閡是E在eφ(P)點(diǎn)的一致參數(shù)，所以P是u°φ的零點(diǎn)，故eφ(P)≥1。特別地，如果φ是一個(gè)自同態(tài)，那么每一點(diǎn)的分歧指數(shù)都相同，故可以記作eφ。

定義2：設(shè)φ：E→E是橢圓曲線E上的一個(gè)非常數(shù)有理映射，可如下定義除子群Div(E)上的自同態(tài)：

φ*：Div(E)→Div(E)

對(duì)任意的非零有理函數(shù)r，下式成立，

div(r°φ)=φ*(div(r))

Weil對(duì)的定義：Weil對(duì)em是如下定義的一個(gè)二元函數(shù)：

em:E[m]×E[m]→μm

1.1.2Weil對(duì)具有的性質(zhì)：

(1)雙線性：(i)對(duì)任意的S1,S2,T∈E[m]，em(S1+S2,T)=em(S1,T)em(S2,T)

(ii)對(duì)任意的S,H1,H2∈E[m]，em(S,H1+H2)=em(S,H1)em(S,H2)，

(2)恒等性：對(duì)任意的S∈E[m]，em(S,S)=1

(3)對(duì)稱性：對(duì)任意的P，Q∈E[m]，em(nP,Q)=em(P,Q)n,em(P,nQ)=em(P,Q)n

(4)非退化性：如果任意的S∈E[m]，那么em(S,O)=1；如果em(S,T)=1對(duì)于所有的T∈E[m]，那么S=O。

(5)對(duì)于所有的S1，S2∈E[m],如果E[m]?E(Fqk)，那么em(S1,S2)∈Fqk。

1.2 橢圓曲線上的ElGamal公鑰體制

1.2.1 橢圓曲線離散對(duì)數(shù)問(wèn)題

令E(F)為有限域F上的一條橢圓曲線，點(diǎn)P∈E(F)，對(duì)于隨機(jī)生成一個(gè)整數(shù)d，容易計(jì)算Q=d×P，但給定Q和P計(jì)算d就相對(duì)困難，即為橢圓曲線離散對(duì)數(shù)問(wèn)題(ECDLP)。橢圓曲線密碼體制的依據(jù)就是利用定義在曲線群上的離散對(duì)數(shù)問(wèn)題的難解性。

設(shè)P是橢圓曲線E上的一點(diǎn)，若存在最小的正整數(shù)n，使得nP=O，其中O是無(wú)群遠(yuǎn)點(diǎn)，則稱n是點(diǎn)P的階。

1.2.2 橢圓曲線上的ElGamal公鑰體制

設(shè)m|Pm是明文空間到橢圓曲線的嵌入，G∈E為橢圓曲線上的基點(diǎn)，G的階為q。用戶B欲向A發(fā)送信息m，則A選取dA(0

2 基于Weil對(duì)的橢圓曲線數(shù)字簽名方案

設(shè)p,Fq,q,l,μl均和前面1.1中Weil配對(duì)定義的意義相同(為了和明文m區(qū)別，把下標(biāo)m改為l)，P∈μl是E(Fq)上階數(shù)為l的點(diǎn)?；陔x散對(duì)數(shù)的難解性，用戶A和B利用橢圓曲線的ElGamal公鑰體制和Weil對(duì)進(jìn)行簽名以及驗(yàn)證。

⑴用戶A和B都將自己的公鑰公開(kāi)登記，用來(lái)作為雙方和第三方(如：仲裁者)驗(yàn)證簽名的依據(jù)。

⑵將密碼信息m用哈希算法求得數(shù)字摘要e，e=h(m)，將e嵌入到橢圓曲線上，記為點(diǎn)Pe。

(i) 由Weil對(duì)的對(duì)稱性可知：em(nP,Q)=em(P,Q)n=em(P,nQ)。

(ii)據(jù)雙線性和對(duì)稱性二性質(zhì)，可得，對(duì)em(Y,G)的驗(yàn)證如下：

em(Y,G)=em(dA(Pe+X),G)=em(Pe+X,dAG)=em(Pe+X,PA)=em(PePA)em(XPA)即Verk(Pe,X,Y)=true?em(Y,G)=em(PePA)em(XPA)。若等式成立，則接受(X,Y)是A的簽名，否則拒絕。同理，B也可以采用同樣的方式進(jìn)行簽名。A收到后，同樣進(jìn)行驗(yàn)證簽名。

3 安全性分析

本數(shù)字簽名方案是基于橢圓曲線離散對(duì)數(shù)問(wèn)題，同時(shí)結(jié)合BDH問(wèn)題，以及ElGamal類加密體制和簽名方案而構(gòu)造的。就其安全性分析如下：

(1)由橢圓曲線密碼的基礎(chǔ)知識(shí)可知：在橢圓曲線中，當(dāng)設(shè)Q=nP，P、Q∈E(F)，從n、P求Q存在有效的算法，而從P、Q求n沒(méi)有有效的算法，這個(gè)問(wèn)題就稱為橢圓曲線離散對(duì)數(shù)問(wèn)題。從而，增強(qiáng)了方案的安全性。另外，由于本簽名方案是基于橢圓曲線數(shù)字簽名體制的簽名方案，因此，具有橢圓曲線的特點(diǎn)：(i)安全性高，(ii)密鑰量小，(iii)存儲(chǔ)量小、傳輸時(shí)間短，(iv)靈活性好，只要有限域已定，其上的循環(huán)群就確定了等優(yōu)點(diǎn)。

(2)本簽名方案的安全性同時(shí)又基于雙線性Diffie-Hellman(BDH)問(wèn)題：已知P、Q、R∈E(Fq)，求點(diǎn)S∈E(Fq)，使得等式em(S,P)=em(R,Q)成立。攻擊者想偽造簽名，相當(dāng)于求解BDH問(wèn)題，該問(wèn)題目前還沒(méi)有有效的算法。因此，相信該問(wèn)題是難以計(jì)算的。

(3)本簽名方案為了增強(qiáng)安全性沒(méi)有直接把明文m嵌入到橢圓曲線上，即點(diǎn)Pm，而是使用較為安全的Hash函數(shù)h(m)，然后嵌入到橢圓曲線上后再進(jìn)行簽名。這樣把Hash函數(shù)應(yīng)用于數(shù)字簽名中，從而也可以提高簽名的速度。

(4)另外，本方案沒(méi)有完全按照一般的ElGamal公鑰體制進(jìn)行簽名。若簽名按照一般的ElGamal公鑰體制，其形式為：Sigk(Pm,k,dA)=(X,Y)，其中X=kG，Y=Pm+dAX。但是攻擊者可以用Y-Pm計(jì)算出dAX，然后用其他的消息得到P'm進(jìn)行簽名：

X'←X，Y' ←P'm+(Y-Pm)

顯然，這樣的簽名可以通過(guò)驗(yàn)證，于是簽名很容易被偽造了。本方案由于dA很難計(jì)算，也就很難偽造Y，從而增強(qiáng)了方案的安全性。

結(jié)束語(yǔ)

本文提出了基于Weil對(duì)的橢圓曲線數(shù)字簽名方案，并利用了ElGamal 型數(shù)字簽名規(guī)則，使其安全性基于離散對(duì)數(shù)的難解性和BDH問(wèn)題的難解性，具有較高的安全性。同時(shí)，也為解決橢圓曲線上數(shù)字簽名的驗(yàn)證提供了一種新的方法。

參考文獻(xiàn)：

[1]Harn . L. and Xu . Y. ,Design of generalized ElGamal type digital signature schemes based on discrete logarithm , Electron Lettt ,1994 ,30(24):2025 - 2026.

[2]趙云峰 等.一個(gè)基于Weil對(duì)的基于身份的群簽名方案[J]. 計(jì)算機(jī)應(yīng)用研究，2005，(5):124-125.

[3]D JOHNSON,A MENEZES VANSTONE. The elliptic curve digital signature algorithm (ECDSA)[J].International Journal on Information Security,2001;(1):36-63.

[4]Dr Tsuyoshi Takagi. Efficient Algorithms for Pairing-Based Cryptosystems. Marcus Stogbauer, 2004-01.