GPV数字签名原理与应用

2008年,Gentry等设计了一个随机预言机模型下可证安全的格基签名方案,本文称之为GPV签名.作为“hash and sign”方法设计格基签名的典型代表,GPV签名一经提出就成为格上数字签名设计的重要工具.GPV签名方案的参数同上述PSF的基本参数.设h(·) :{0,1}* →Zn 为一个抗碰撞的安全hash函数.密钥生成.利用陷门抽样算法输出一个随机均匀的矩阵以及对应格Λ⊥q(A)上的陷

理论教育 2023-06-28

身份基加密方案优化

一个身份基加密方案(IBE)包含四个算法Setup,Extract,Encrypt,Decrypt.由于身份信息将作为用户的公钥使用,在IBE方案中需要一个私钥生成中心(private key generator,PKG).PKG利用自己的私钥为每一个身份信息提取相应的私钥.Setup.给定安全参数n,Setup算法生成所有的系统参数param,PKG的族公钥MPK以及族密钥MSK.定义消息空间和

理论教育 2023-06-28

应用领域广泛的格上高斯分布

格上高斯分布很早就被用来研究格的一些性质[40],近年来,研究者发现使用高斯分布能够有效的隐藏格上陷门信息,实现方案的安全性.不仅如此,近年来,研究者找到了几种实现格上高斯分布的有效方法,掌握了格上高斯分布的很多良好性质,这些积累大大促进了高斯分布作为重要工具在格密码设计领域的应用[38,41–44,28,45].方便起见,以下以Λ⊥q(A)为例,介绍格上高斯分布的基本概念和基本结论.首先给出Rm

理论教育 2023-06-28

方案分析：VES生成算法的正确性证明

4.3.4.1正确性令ω = (y1,y2,π,μ,r,M) 是VES生成算法的一个输出.方案的正确性可以由以下结论推出.1.因为Alice知道s2,从而Alice完全可以生成一个NIWI证明π,2.因为Ay1 =A(BTs+e)=Ae=h(M||r)(modq),所以Ae′ =Ay2(modq),3.又因为c=(y1+y2-Bμ)=(e+e′)(modq),从而Ac=(h(M||r)+Ay2)

理论教育 2023-06-28

高斯参数和噪声向量的参数分组描述方案

令n,m,q =poly(n)为参数.给定一个最大的分级深度d,令高斯参数和噪声向量的参数分别表示为σ =(σ1,··· ,σd),α=(α1,··· ,αd).对所有l ＜d,设一个身份向量id|l = (id1,id2,··· ,idl)是一个经过充分随机编码后的输出,则方案如下执行:系统建立.PKG 生成族公钥和族私钥如下:1.生成及其陷门基(陷门抽样算法).2.抽取d矩阵R1,R2,···

理论教育 2023-06-28

固定维数的格基代理算法优化方案

盆景树算法（Bonsai trees）在提供强大设计能力的同时,其自身的弊端也显而易见.为了实现格的“生长”一组庞大的矩阵必须实现级联.这导致公钥、签名的空间效率低下.为了改进格基代理算法的效率,后续的,密码学家分别提出了实现较少格维数增加的、具有“左右抽样”功能的格基代理技术[41]和不需要增加格的维数,即在固定维数上实现格的“生长”的格基代理技术[42].这些格基代理技术为格密码效率的提升提供

理论教育 2023-06-28

定属性,该签名只能由特定的验证者验证,因此不可传递.

4.2.6.1匿名性定理4.4 本节提出的强指定验证者环签名满足无条件匿名性.证明: 注意到r′和t 是LWE问题实例,由LWE问题的困难性,向量r′和t 近似可以看作随机向量,从而不会泄露任何签名人的信息.而向量e = (e1||e2||··· ,||el||eb) ∈Z(l+1)mq统计接近离散高斯分布,从而e 也不会泄露签名人的身份.□4.2.6.2不可传递性由签名副本的生成算法知,由指

理论教育 2023-06-28

=1,2,··· ,l方案描述：基于抗碰撞性Hash的联合签名方案

令n 为一个素数,参数q ≥βω(log n) 其中β = poly(n).对一个固定的常数c ＞0,参数m ≥cn log q.若参数是一个高斯参数.令L是可以联合的签名的最大个数.抗碰撞的hash函数H 将任意属于(0,1)* 的比特串映射到.在该方案中消息空间为.线性函数f 的系数属于{0,1},即,如果f(v1,··· ,vl)=a1v1+,··· ,+alvl 则ai ∈{0,1},i

理论教育 2023-06-28

基于安全参数的身份验证方案描述

系统建立令n 为安全参数.参数m = 2n log q ,q = poly(n) .定义两个安全的hash函数H1和H2 ,满足H1 : {0,1}* -→定义参数限以及一个高斯参数 在该方案中身份空间和消息空间均来自{0,1}*.由[11,39,60],PKG生成族公钥矩阵和族密钥矩阵满足:密钥提取给定用户Ui 的身份信息IDi,PKG计算该身份对应的密钥Si:1.计算H1(IDi)∈作为身份I

理论教育 2023-06-28

环密钥生成方案描述及参数说明

环-密钥生成.n 为安全参数,其他参数均是n 的函数:设Ui 表示环组成员且环组有l个成员,则每位环成员Ui 利用陷门抽样算法,抽取格矩阵以及格Λ⊥q(Ai) 的陷门基 环中心随机、独立地生成2k 个矩阵,j = 1,2,··· ,k,b = 0 或者1.环中心将所有环成员的公钥级联为一个新的矩阵,不失一般性,假设A = A1||A2||···||Al.设hash函数h(·) : {0,1}* →

理论教育 2023-06-28

盲签名在保护用户隐私中的应用及相关方案

盲签名的概念首先由Chaum提出[93],由于盲签名具有保护用户隐私的性质,使得盲签名在电子现金、电子选举、不经意传输等领域存在广泛应用.自盲签名概念提出以来,提出了许多基于数论假设（如大整数分解和离散对数问题）的标准型盲签名以及基于身份的盲签名方案[94–96]等.2010年,R¨ucurt 首次在格上构造了两个盲数字签名方案[97].其中R¨ucurt的第一个方案是在随机格上利用原像抽样函数设

理论教育 2023-06-28

方案优化：解决签名失败问题的调整方案

分析文献[97]第一方案签名失败的原因（篇幅所限本书略去该方案的描述）,发现[97]中合法签名范数的选择范围较大,同样用户在盲化变换时所选择的向量也有较大的范数,这些直接造成了最后用户去盲后范数可能会溢出,造成签名失败.鉴于以上问题.我们对原像抽样函数的参数进行了调整,要求签名者在一个较小参数下完成抽样,同时要求用户用一个更小范数但是满足引理2.6要求的向量盲化消息,而最后的签名验证则在一个较大的

理论教育 2023-06-28

原像抽样函数的应用

设n 为安全参数,q =poly(n),m ≥5n lg q.1.利用陷门抽样算法,输出一个随机均匀的矩阵以及对应格Λ⊥q(A)上的陷门基T,满足‖T‖≤O(n log q).令高斯参数2.矩阵A 定义了一个陷门单向函数f(s) = As(modq) ,T 为陷门.函数的定义域为 对任给的向量u ∈Zn ,利用陷门可以求的u 在f(s)=As(modq)下的原像.算法.SamplePre(A,T,

理论教育 2023-06-28

高斯抽样算法的实现方法

首先介绍一个能够以高斯分布输出整数的抽样算法,记作SampleZ.设s 为高斯参数,c为实数,n 为安全参数,SampleZ 算法的输出分布为以实数c 为中心的高斯分布DZ,s,c.算法.SampleZ输入: (s,c,n).1.x ∈Z [c-st,c+st].2.以概率ρs(x-c)∈(0,1]输出x.输出:x.存在一个概率多项式时间算法能够通过格的一组基向量依照高斯分布抽取格上向量.本书称此

理论教育 2023-06-28

格密码盲性方案分析：保证盲签名在盲化

4.6.4.1正确性由上述方案的描述可知,方案所采用的参数能够满足原像抽样函数以及引理2.1的要求,从而盲签名在盲化、去盲过程中的正确性可以很容易的验证.而方案验证签名算法就是GPV的验证算法,从而由GPV签名的正确性可以推得方案的正确性.4.6.4.2盲性定理4.12 本节所述方案满足盲性要求.证明: 由于签名者收到的盲化消息中的Ac 服从均匀分布,而h 作为一个安全hash函数的输出也近似

理论教育 2023-06-28

形式化定义的概念和作用

定义4.9 一个标准盲签名由以下有效算法构成：密钥生成：该算法输入参数n,输出签名者的公钥pk 和私钥sk 及系统的其他相关参数.签名发布：签名者和用户执行一个轮数有界的交互协议,该协议以签名者公钥为原始输入,签名者输入自己的私钥、验证者输入消息以及必要的辅助输入.经过完整的交互协议后,签名者输出一个签名.在签名发布协议中往往包含以下三个算法：1.盲化.用户将原始签名消息m 和一个随机数τ 输入盲

理论教育 2023-06-28