用于生成和驗(yàn)證線性同態(tài)簽名中的承諾的加密設(shè)備和方法
【專利摘要】設(shè)備(100)的處理器(120)通過以下步驟生成加密承諾：接收矢量、同態(tài)簽名方案的公共驗(yàn)證密鑰、以及標(biāo)簽；在簽名空間中選擇簽名σ；通過運(yùn)行該同態(tài)簽名方案的驗(yàn)證算法生成承諾c；輸出該承諾c作為來源于該驗(yàn)證算法的中間值。
【專利說明】用于生成和驗(yàn)證線性同態(tài)簽名中的承諾的加密設(shè)備和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般涉及加密，特別是線性同態(tài)簽名中的不可延展的承諾。
【背景技術(shù)】
[0002]本部分意在向讀者介紹與以下被描述和/或要求保護(hù)的本發(fā)明的各個方面相關(guān)的技術(shù)的各個方面。相信本討論有助于為讀者提供背景信息以促進(jìn)對本發(fā)明各個方面的更好的理解。相應(yīng)地，應(yīng)當(dāng)理解的是這些敘述從這個角度被閱讀，并不作為對現(xiàn)有技術(shù)的承認(rèn)。
[0003]所謂的承諾方案可被稱作密封的信封的數(shù)字等價物:信封中的無論何物仍然保密直至該信封被打開。同時，一旦該信封已經(jīng)被關(guān)閉，發(fā)送者不可改變他關(guān)于該內(nèi)容的意見。因此該承諾方案的目標(biāo)是促使發(fā)送者定義一個信息，其不能改變直至將來它被顯示的那個時間。
[0004]承諾方案可是非交互的，其意味著所謂的承諾階段和打開(opening)階段均包括從發(fā)送者到接收者的單一信息。換句話說，該接收者除了接收信息外不必以任何其他形式和發(fā)送者交互。
[0005]陷門(trapdoor)承諾是完美的隱藏承諾(即，其中的隱藏性質(zhì)甚至影響無限制的攻擊者)，由于陷門tk使得打破綁定性質(zhì)并打開承諾到任意值成為可能。然而，應(yīng)當(dāng)保持沒有該陷門是不可實(shí)行的。如在本發(fā)明的描述中將被看到的，陷門承諾使用稱作FakeCom和FakeOpen的兩個額外算法。
[0006]在仿真-聲音陷門承諾(SSTC)中，每個承諾被用標(biāo)簽標(biāo)記。在P.MacKenzie,K.Yang.0n Simulation-Sound Trapdoor Commitments.1n EurocryptJ 04, Lecture Notesin Computer Science, vol.3027, pages382-400, 2004.中給出定義。該定義要求即使攻擊者被允許看到承諾的等價物而可能區(qū)分多個標(biāo)簽tagl，, tag,的消息，也將無法打破該綁定性質(zhì)用于新的標(biāo)簽tag0 {tagi,...,tagq}。
[0007]承諾方案的另一個期望的性質(zhì)是攻擊者不能承諾與這些誠實(shí)的參與者相關(guān)的消息。關(guān)于打開的獨(dú)立性的概念捕獲到，攻擊者可以對其打開承諾的消息應(yīng)當(dāng)獨(dú)立于誠實(shí)的發(fā)送者的承諾被打開的方式。參見G.Di Grescenzo, Y.1shai, R.0strovsky.Non-1nteractive and Non-Malleable Commitment.1n STOCj 98, pagesl41-151,1998.以及 R.Gennaro 和 S.Mical1.1ndepentdent Zero-Knowledge Sets.1n ICALPj 06, LectureNotes in Computer Science, vol.4052, pages34_45, 2006。
[0008]對于承諾，素?cái)?shù)階ρ>2λ的組(G，GT)被考慮，其中λ為安全參數(shù)，在其上離散對數(shù)問題被假設(shè)為困難的。此外假定有效的可計(jì)算的雙線性映射(又叫做，配對)；e:GXG —GT。也就是，對于任一 g，h e G以及任一 a,b e Z,e(ga,hb) =e(g,h)ab。此外，當(dāng)且僅當(dāng)g關(guān)Ic和 h 關(guān) Ig 時，
[0009]在這些組中，可能依賴于以下硬性假定:
[0010].計(jì)算的 Diffie-Hellman 問題(CDH)；[0011].決策線性問題(DLIN)-參見 D.Boneh, X.Boyen, H.Shacham.Short GroupSignatures.1n Crypto’04，Lecture Notes in Computer Science，vol.3152，pages41_55，Springer, 2004 ;以及
[0012].連續(xù)雙配對問題(SDP)。這個假定通過組G中的DLIN假定被隱含-參見M.Abe，K.Haralambiev, M.0hlcub0.Signing on Elements in Bilinear Groups for ModularProtocol Design.Cryptology ePrint Archive:Report 2010/133,2010。
[0013]現(xiàn)有技術(shù)包括非交互不可延展承諾的多個構(gòu)造，上述承諾不能被重復(fù)使用，因?yàn)樵谳敵鏊杂械某兄Z前攻擊者僅僅被給予一個誠實(shí)地生成的承諾。參見以下示例:
[0014]*G.Di Crescenzo,Y.1shai,R.0strovsky.Non-1nteractive and Non-MalleableCommitment.1n STOCr 98，pp.141-150，1998.[0015].US6301664(G.Di Crescenzo, Y.1shai, R.0strovsky.Method and System forNon-Malleable and Non-1nteractive Cryptographic Commitment in a Network.2001)
[0016].G.Di Crescenzo , J.Katz , R.0strovsky, A.Smith.Efficient andNon-1nteractive Non-malleable Commitment.1n Eurocrypt f 01，Lecture Notes inComputer Science，vol.2045，pp.40-59，2001.[0017]可重復(fù)使用的不可延展的承諾的概念由Damgard和Groth提出[1.Damgard,J.Groth.Non-1nteractive and reusable non—malleable commitment schemes.1nSTOCr 03，pages426-437，2003.]?？芍貜?fù)使用的不可延展的承諾可從仿真-聲音陷門7?〈諾[參見 J.Garayj P.MacKenzie, K.Yang.Strengthening Zero-Knowledge ProtocolsUsing Signatures.1n Eurocryptr 03,Lecture Notes in Computer Science,vol.2656,pp.177-194,2003.以及 P.MacKenzic, K.Yang.0n Simul ation-Sound TrapdoorCommitments.1n Eurocrypt f 04，Lecture Notes in Computer Science,vol.3027,pp.382-400，2004.]和多陷門承諾[R.Gemiar0.Mult1-Trapdoor Commitments and TheirApplications to Proofs of Knowledge Secure Under Concurrent Man-1n—the—MiddleAttacks.1n Cryptor 04，Lecture Notes in Computer Science，vol.3152，pp.220-236，2004]中被構(gòu)造。
[0018]這些論文中，MacKenzie和Yang從簽名方案承認(rèn)效率Σ協(xié)議中給出SSTC的架構(gòu)。如在現(xiàn)有技術(shù)中眾所周知的，Σ協(xié)議是證人和驗(yàn)證者之間的三運(yùn)動交互協(xié)議。事實(shí)上，如 Fujisaki 指出的[E.Fuiisak1.New Constructions of Efficient Simulation-SoundCommitments Using Encryption and Their Applications.1n CT-RSA f 12，LectureNotes in Computer Science, vol.7178，pp.136-155，2012.]，建立在簽名方案上的非交互仿真-聲音或者多陷門[參見GennaiO的論文]承諾的所有已知構(gòu)造，效率Σ協(xié)議允許簽名的證明知識。
[0019]想法是通過使用m作為對Σ協(xié)議的挑戰(zhàn)(challenge)用來在標(biāo)簽上證明簽名σ=Sig (sk, tag)的知識來承諾一個消息m。該承諾通過Σ協(xié)議的副本(a，m，z)的第一消息a被給出，其通過仿真消息tag上的有效簽名σ的知識的證明來獲取。該承諾隨后通過揭示ζ被打開。通過該Σ協(xié)議的特定的可靠性，除非發(fā)送者實(shí)際上知道tag上有效的簽名，它只能打開給定的承諾a到一個消息m。
[0020]而簡單的，如果我們希望發(fā)送者仍然能夠高效地證明關(guān)于承諾的矢量的獨(dú)立坐標(biāo)的聲明，上面的構(gòu)造并不容易地?cái)U(kuò)展到對矢量的承諾。此外，基于Σ協(xié)議的方法并不能使得可以承諾組元素的矢量:為了這個目的，我們將需要在其中挑戰(zhàn)是組元素的矢量的Σ協(xié)議。在之前提到的論文中，F(xiàn)ujiisaki給出了基于加密方案的SSTC系統(tǒng)的可替代的構(gòu)造。然而，這個構(gòu)造是交互的，因?yàn)樵诔兄Z階段需要發(fā)送者和接收者之間的多個交互的循環(huán)。
[0021]組元素的非交互承諾被描述在例如:
[0022].J.Groth.Simulation-Sound NIZK Proofs for a Practical Language andConstant Size Group Signatures.1n Asiacrypt f 06，Leclure Notes in ComputerScience，vol.4284，pp.444-459，Springer,2006.[0023].J.Groth, A.Saha1.Efficient non-1nteractive proof systemsfor bilineargroups.1n Eurocryptr 08,Lecture Notes in Computer Science，vol.4965，pp.415-432，2008.[0024].J.Cathalo，B.Liberr, M.Yung.Group Encryption:Non-1nteractiveRealization in the Standard Model.1n A.Siacryhtr 09,Lecture Notes in ComputerScience，vol.5912，pp.179-196，2009.[0025].J.Groth.Homomorphic trapdoor commitments to group elements.CryptologyePrint Archive:Report2009/007,2009.[0026]然而，這些方案都是同態(tài)的并且因此可延展。迄今為止，唯一知道的其消息和打開僅僅包含組元素的非交互不可延展承諾方案由Fischlin等描述[參見M.Fischlin,B.Libcrt,M.Manulis.Non-1nteractive and Re-usable Universally Composable StringComnitments with Adaptive Security.1n Asiacrypt^ 11，Lecture Notes in ComputerScience，vol.7073，pp.468-485，2011.]。然而，這些構(gòu)造不能減少長度(即，承諾不能短于消息)，因?yàn)樗麄冞_(dá)到通用可組合性[參見R.Canett1.Universally ComposableSecurity:A New Paradigm for Cryptographic Protocols.1n FOCS f 01pp.136-145，2001.以及 R.Canetti, M.Fischlin.Universally Composable Commitments.1nCrypto，01，Lecture Notes in Computer Sciece，vol.2139，pp.19-40, 2001.]并且已知的是，通用可組合的承諾必須是可抽取出的(也就是，陷門信息應(yīng)當(dāng)使得可能恢復(fù)承諾中包含的消息)。
[0027]因而應(yīng)當(dāng)理解的是，期望具有一個承諾方案，其提供對矢量力二(III1,...，mn)的
非交互不可延展陷門承諾的模塊化構(gòu)造，同時保持高效證明關(guān)于單個矢量坐標(biāo)的屬性的能力。這排除了包含對矢量S的哈希值的承諾的無價值的方案。還需要該方案能夠?qū)M元素承諾而無需知道它們的離散對數(shù)。換句話說，要被承諾的消息應(yīng)包括組元素的矢量(M1,...，Mn) ^ Gn，其中G是一個組，在其中雙線性映射e:GXG —Gt是高效的可計(jì)算的。該承諾方案也應(yīng)優(yōu)選地被設(shè)計(jì)以使承諾字串com具有固定大小，無論一次承諾了多少組元素(M1,...，Mn)。最后，打開也應(yīng)優(yōu)選地包括G中的元素，其將使得能夠生成承諾的組元素滿足特定的性質(zhì)的高效的非交互的證明(使用[J.Groth，A.Saha1.Efficient non-1nteractiveproof systems for bilinear groups.1n Eurocrypt^ 08，Lecture Notes in ComputerScience，vol.4965，pp.415-432，2008.]的技術(shù))。本發(fā)明提供這樣的承諾方案。

【發(fā)明內(nèi)容】
[0028]在第一方面，本發(fā)明針對一種生成不可延展的加密承諾的方法。設(shè)備的處理器接收矢量、與簽名存在的空間相關(guān)聯(lián)的同態(tài)簽名方案的公共驗(yàn)證密鑰、以及標(biāo)簽；在簽名存在的空間選擇元素；使用該矢量、該公共驗(yàn)證密鑰、該標(biāo)簽以及該元素生成承諾；以及輸出該承諾。該承諾c通過在該矢量、該公共驗(yàn)證密鑰、該標(biāo)簽以及該元素上運(yùn)行該同態(tài)簽名方案的驗(yàn)證算法被生成。
[0029]在第一實(shí)施例中，該承諾的大小獨(dú)立于該矢量的大小。
[0030]在第二實(shí)施例中，其中該矢量包括在其上雙線性映射GXG — Gt可被高效計(jì)算的組G的元素。
[0031]在第三實(shí)施例中，其中該矢量的維度大于或等于2。
[0032]在第四實(shí)施例中，該承諾允許使用零知識證明以證明打開的知識。
[0033]在第五實(shí)施例中，該承諾被生成作為來源于該驗(yàn)證算法的中間值。
[0034]在第二方面，本發(fā)明針對一種生成不可延展的加密承諾的設(shè)備，該設(shè)備包括至少一個界面，被配置為:接收矢量、與簽名存在的空間相關(guān)聯(lián)的同態(tài)簽名方案的公共驗(yàn)證密鑰、以及標(biāo)簽；以及輸出該承諾。該設(shè)備進(jìn)一步還包括一處理器，被配置為:在簽名存在的空間選擇元素；以及使用該矢量、該公共驗(yàn)證密鑰、該標(biāo)簽以及該元素生成承諾。該處理器被配置為通過在該矢量、該公共驗(yàn)證密鑰、該標(biāo)簽以及該元素上運(yùn)行該同態(tài)簽名方案的驗(yàn)證算法生成承諾。
[0035]在第一實(shí)施例中，該承諾的大小獨(dú)立于該矢量的大小。
[0036]在第二實(shí)施例中，其中該矢量包括在其上雙線性映射GXG — Gt可被高效計(jì)算的組G的元素。
[0037]在第二實(shí)施例中，其中該矢量的維度大于或等于2。
[0038]在第三實(shí)施例中，該承諾允許使用零知識證明以證明打開的知識。
[0039]在第四實(shí)施例中，該承諾被生成作為來源于該驗(yàn)證算法的中間值。
[0040]在第三方面，本發(fā)明針對一種非臨時性的計(jì)算機(jī)程序產(chǎn)品，其儲存當(dāng)被處理器執(zhí)行時執(zhí)行第一方面的任一實(shí)施例中的方法的指令。
【專利附圖】

【附圖說明】
[0041]現(xiàn)在將通過非限制性的示例的方式，參考附圖描述本發(fā)明優(yōu)選的特征，附圖中:
[0042]圖1示出了根據(jù)本發(fā)明優(yōu)選的實(shí)施例的一種用于生成承諾的加密設(shè)備以及一種用于驗(yàn)證承諾的加密設(shè)備；以及
[0043]圖2示出了根據(jù)本發(fā)明優(yōu)選的實(shí)施例的一種用于生成承諾并用于驗(yàn)證承諾的打開的方法。
【具體實(shí)施方式】
[0044]本發(fā)明的基本理念基于，在特定的溫和條件下，線性同態(tài)結(jié)構(gòu)保留的簽名暗示對組元素矢量的長度減少不可延展結(jié)構(gòu)保留的承諾。因此，本發(fā)明提供了長度減少不可延展結(jié)構(gòu)保留的陷門承諾。將注意的是，該方案不是嚴(yán)格的結(jié)構(gòu)保留(就是說承諾字串并不和消息存在于相同的組，根據(jù)M.Abe,K.Haralambiev,M.0hkub0.Group to Group CommitmentsDo Not Shrink.1n EurocryptJ 12, Lecture Notes in Computer Science, vol.7237,pp.301-317,2012.的術(shù)語)。相反，該方案是非嚴(yán)格意義上的結(jié)構(gòu)保留，因?yàn)槌兄Z字串存在于Gt而不是G (但是，如論文中所示的，嚴(yán)格的結(jié)構(gòu)保留承諾不能是長度減少的)。仍然，打開僅僅包括G中的元素，其使得能夠生成承諾的組元素滿足特定特性的高效非交互證明。
[0045]本發(fā)明的方案通過對組元素的第一構(gòu)造仿真-聲音陷門承諾(SSTC)被獲取(參見 J.Garay, P.MacKenzie, K.Yang.Strengthening Zero-Knowledge ProtocolsUsing Signatures.1n Eurocrypt f 03，Lecture Notes in Computer Science，vol.2656，pp.177-194，2003 以及 P.MacKenzie，K.Yang.0n Simulation-Sound TrapdoorCommitments.1n Eurocrypt f 04，Lecture Notes in Computer Science，vol.3027，pp.382-400,2004)。
[0046]在Garay、MacKenzie Yang的論文中SSTC方案最先被建議作為工具用于構(gòu)造通用可組合零知識證明(參見R.Canett1.Universally Composable Security:A New Paradigmfor Cryptographic Protocols.1n FOCSr 01，pp.136-145，2001.)。MacKenzie 以及 Yang隨后給出了簡化的安全定義，其足夠提供從可重復(fù)使用的不可延展承諾的定義的意義上的與打開相關(guān)的不可延展性(參見 1.Damgard，J.Groth.Non-1nteractive and reusablenon-malleable commitment schemes.1n ST0C’ 03，pages426_437，2003.)。
[0047]首先指出的是任何固定長度的線性同態(tài)結(jié)構(gòu)保留的簽名需要遵從以下模板。
[0048]Keygen (ρρ，η):給定的公共參數(shù)ρρ，其包括具有雙線性映射的組(G，Gt)的描述，以及要被簽名的子空間的維度n G N，選擇常數(shù)nz、nv、m ^ N。其中，nz和nv決定了簽名的長度，m為驗(yàn)證算法中方程式的數(shù)目。然后在組G中選擇元素{Fj，u}jeil，...，m}，ueil，...，nz}，(GjJie ,n},Je {I,...,m}° 該公共密鑰為
[0049]pk —;?z}
[0050]并且該私人密鑰包括與涉及特定基礎(chǔ)的公共密鑰元素的表示相關(guān)的信息。
[0051]Sign(sk, τ , (M1,..., Mn)):輸出元組
【權(quán)利要求】
1.一種生成不可延展的加密承諾的方法，該方法包括在設(shè)備(Iio)的處理器(120)中的步驟: -接收矢量6、與簽名存在的空間相關(guān)聯(lián)的同態(tài)簽名方案的公共驗(yàn)證密鑰、以及標(biāo)簽； -在簽名存在的空間選擇元素σ ; -使用該矢量6、該公共驗(yàn)證密鑰、該標(biāo)簽以及該元素σ生成承諾c ;以及 -輸出該承諾c ； 其中該承諾C通過在該矢量6、該公共驗(yàn)證密鑰、該標(biāo)簽以及該元素O上運(yùn)行該同態(tài)簽名方案的驗(yàn)證算法被生成。
2.根據(jù)權(quán)利要求1的方法，其中該承諾c的大小獨(dú)立于該矢量6的大小。
3.根據(jù)權(quán)利要求1的方法，其中該矢量6包括在其上雙線性映射GXG— Gt可被高效計(jì)算的組G的元素。
4.根據(jù)權(quán)利要求1的方法，其中該矢量6的維度大于或等于2。
5.根據(jù)權(quán)利要 求1的方法，其中該承諾c允許使用零知識證明以證明打開的知識。
6.根據(jù)權(quán)利要求1的方法，其中該承諾c被生成作為來源于該驗(yàn)證算法的中間值。
7.—種生成不可延展的加密承諾的設(shè)備(100)，該設(shè)備(100)包括: -至少一個界面(110)被配置為: -接收矢量6、與簽名存在的空間相關(guān)聯(lián)的同態(tài)簽名方案的公共驗(yàn)證密鑰、以及標(biāo)簽；以及 -輸出該承諾c ;以及 -處理器(120)被配置為: -在簽名存在的空間選擇元素σ ;以及 -使用該矢量6、該公共驗(yàn)證密鑰、該標(biāo)簽以及該元素σ生成承諾c ; 其中該處理器被配置為通過在該矢量6、該公共驗(yàn)證密鑰、該標(biāo)簽以及該元素σ上運(yùn)行該同態(tài)簽名方案的驗(yàn)證算法來生成承諾C。
8.根據(jù)權(quán)利要求7的設(shè)備，其中該承諾c的大小獨(dú)立于該矢量/?的大小。
9.根據(jù)權(quán)利要求7的設(shè)備，其中該矢量6包括在其上雙線性映射GXG— Gt可被高效計(jì)算的組G的元素。
10.根據(jù)權(quán)利要求7的設(shè)備，其中該矢量5的維度大于或等于2。
11.根據(jù)權(quán)利要求7的設(shè)備，其中該承諾c允許使用零知識證明以證明打開的知識。
12.根據(jù)權(quán)利要求7的設(shè)備，其中該承諾c被產(chǎn)生作為來源于該驗(yàn)證算法的中間值。
13.一種非臨時性的計(jì)算機(jī)程序產(chǎn)品(140)，其儲存當(dāng)被處理器執(zhí)行時執(zhí)行權(quán)利要求1-6中任一所述方法的指令。
【文檔編號】H04L29/06GK103997407SQ201410102426
【公開日】2014年8月20日 申請日期:2014年2月17日 優(yōu)先權(quán)日:2013年2月15日
【發(fā)明者】M·喬伊, B·利伯特 申請人:湯姆遜許可公司