專利名稱:信息處理設(shè)備����、密鑰生成設(shè)備�、簽名驗證設(shè)備�����、信息處理方法、簽名生成方法和程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息處理裝置��、密鑰生成裝置、簽名驗證裝置�、信息處理方法����、簽名生成方法和程序�����。
背景技術(shù):
隨著信息處理技術(shù)和通信技術(shù)的飛速發(fā)展,文檔(不管是官方文檔還是私人文 檔)正被快速地轉(zhuǎn)換成電子形式。因此,許多個人和企業(yè)顯示出對電子文檔的安全控制的極大興趣����。隨著這種越來越大的興趣���,針對諸如對電子文檔的竊聽(wiretapping)和偽造之類的篡改的安全在各種地區(qū)被更加積極并越來越多地討論����。例如��,可以通過對電子文檔進(jìn)行加密來確保針對電子文檔的竊聽的安全�����。例如���,可以通過利用電子簽名來確保從對電子文檔的偽造的安全�����。但是�����,加密和電子簽名必須具有對篡改的足夠抵抗力。電子簽名被用來識別電子文檔的作者�。因此����,電子簽名應(yīng)當(dāng)僅能由作者創(chuàng)建�����。如果惡意第三方能夠創(chuàng)建相同的電子簽名,則第三方可偽裝成電子文檔的作者。即����,電子文檔被惡意第三方偽造����。為了防止這種偽造�����,已經(jīng)以多種方式討論了電子簽名的安全�。當(dāng)前被廣泛使用的電子簽名方法例如包括利用RSA簽名方法或DSA簽名方法的方法���。RSA簽名方法將安全基于“難于將大的合數(shù)因式分解成素分量(以下���,稱為因式分解成素分量的問題)”�����。DSA簽名方法將安全基于“難于解決離散對數(shù)問題”����。這些基礎(chǔ)可歸因于如下事實不存在通過利用經(jīng)典計算機(jī)來有效解決因式分解成素分量的問題或離散對數(shù)問題的算法�。即���,以上的困難意味著經(jīng)典計算機(jī)的計算困難�。此處的經(jīng)典計算機(jī)意味著不是所謂的量子計算機(jī)的計算機(jī)。量子計算機(jī)被稱為能夠有效地計算因式分解成素分量的問題或離散對數(shù)問題的答案���。因此�����,注意力集中于具有不同于RSA簽名方法或DSA簽名方法的基礎(chǔ)的安全基礎(chǔ)的算法或協(xié)議��。其一個主要的候選是多變量公鑰密碼(MPKC)簽名方法,其將安全基于“難于解決多變量多項式(以下,稱為多變量多項式問題)”����。據(jù)稱,不存在通過量子計算機(jī)來有效求解多變量多項式問題的算法。當(dāng)與RSA簽名方法或DSA簽名方法相比時��,MPKC簽名方法用以確保相同水平的安全所保持的信息量更小�。因此,MPKC簽名方法還適于具有更少操作能力或存儲容量的設(shè)備的使用�。作為MPKC簽名方法��,例如�,廣泛已知基于MI(松本今井密碼(Matsumoto-Imaicryptography))、HFE (隱藏場方程密碼;例如參見非專利文獻(xiàn)I)��、OV (油醋簽名機(jī)制(Oil-Vinegar signature scheme))和 TTM(馴服改造方法密碼(Tamed TransformationMethod cryptography))的方法。作為HFE簽名方法的導(dǎo)出形式,已知HFE簽名方法和OV簽名方法的組合(以下��,稱為HFEv簽名方法)以及HFE簽名方法和PFDH(全域概率哈希(Probabilistic Full Domain Hash))簽名方法的組合(以下�,稱為HFE+PFDH方法;例如參見非專利文獻(xiàn)2)����。引用列表
非專利文獻(xiàn) I :Jacques Patarin Asymmetric Cryptography with a HiddenMonomial, CRYPTO 1996���,第 45 頁至第 60 頁��。非專利文獻(xiàn)2 Patarin> J.、Courtois> N.和 Goubin> L. QUARTZ, 128-Bit LongDigital Signatures�。出現(xiàn)在CT-RSA 2001 (美國加州舊金山,2001年4月)關(guān)于密碼學(xué)的話題����,Naccache�����、D.���、Ed, Springer-Verlag計算機(jī)科學(xué)的講義,第2020卷,第282頁至第297 頁
發(fā)明內(nèi)容
技術(shù)問題如上所述���,諸如HFE簽名方法和OV簽名方法之類的MPKC簽名方法具有優(yōu)越的特點,諸如��,通過利用量子計算機(jī)能對抗篡改行為�����,并且��,與RSA簽名方法相比��,具有更少的操作負(fù)荷和存儲使用���。但是���,在諸如HFE簽名方法和OV簽名方法之類的MPKC簽名方法中所使用的帶有陷門(trapdoor)的單向函數(shù)f不是雙射的(bi jective)���。因此,MPKC簽名方法不確保針對選定消息攻擊(chosen-message attacks) (CMA)的安全���。選定消息攻擊是在一種環(huán)境中試圖偽造電子簽名的行為����,其中,除了諸如驗證密鑰之類的公共信息以外���,攻擊者可自由地獲取對任意電子文檔的電子簽名�。鑒于上述,做出了本發(fā)明���,并且,希望提供能夠?qū)崿F(xiàn)對應(yīng)于MPKC簽名方法中所使用的帶有陷門的單向函數(shù)的映射雙射或接近映射雙射的屬性的新穎并改善的信息處理裝置、密鑰生成裝置、簽名驗證裝置、信息處理方法���、簽名生成方法和程序。問題的解決方案根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第一方面���,提供了一種信息處理裝置�,包括第一逆變換單元�,該第一逆變換單元通過第一秘密多項式T的逆變換T—1將包括由η個數(shù)所組成的元素的有限環(huán)Kn的元素y變換成所述有限環(huán)Kn的元素y';元素計算單元�����,該元素計算單元將通過所述第一逆變換單元所獲得的有限環(huán)Kn的元素y'看作有限環(huán)K的η次擴(kuò)展A的元素Y,并且,通過利用所述元素Y來計算由預(yù)定多變量多項式所表示的映射f (f A —A)的原像的元素X e {Z e AI f (Z) = Y};元素選擇單元����,該元素選擇單元以與所述原像的元素數(shù)α成正比的概率P選擇由所述元素計算單元所計算的所述原像的一個元素X,并且��,以概率(Ι-p)輸出異常值��;以及第二逆變換單元�,該第二逆變換單元將由所述元素選擇單元所選擇的所述元素X看作所述有限環(huán)Kn的元素X�,��,并且���,通過第二秘密多項式S的逆變換S—1將所述有限環(huán)Kn的元素X'變換成所述有限環(huán)Kn的元素X�����。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第二方面����,提供了一種信息處理裝置,包括部分元素選擇單元����,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素νχ ;第一逆變換單元���,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1將包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素y';元素計算單元��,該元素計算單元將通過所述第一逆變換單元所獲得的有限環(huán)Km的元素y'看作有限環(huán)K的m次擴(kuò)展A的元素Y�����,并且����,通過利用所述元素Y和由所述部分元素選擇單元所選擇的所述元素νχ來計算由預(yù)定多變量多項式所表示的映射f(f =AXKv — B,B是所述有限環(huán)K的ο次擴(kuò)展)的原像的元素Xe {Z e B|f (Ζ,νχ) = Y};元素選擇單元,該元素選擇單元以與所述原像的元素數(shù)α成正比的概率P選擇由所述元素計算單元所計算的所述原像的一個元素X�����,并且�����,以概率(I-P)輸出異常值�;以及第二逆變換單元���,該第二逆變換單元將由所述元素選擇單元所選擇的所述元素X看作有限環(huán)K�。的元素ox,并且,通過第二秘密多項式S的逆變換S—1將所述有限環(huán)Kn(n = ο+χ)的元素X’ = (οχ, νχ)變換成所述有限環(huán)Kn的元素X。該信息處理裝置還可包括數(shù)生成單元,該數(shù)生成單元生成數(shù)r ;數(shù)據(jù)生成單元����,該數(shù)據(jù)生成單元通過利用由所述數(shù)生成單元所生成的所述數(shù)r和電子數(shù)據(jù)M來生成所述有限環(huán)Kn的元素y;以及簽名生成單元,該簽名生成單元將由所述數(shù)據(jù)生成單元生成的所述有限環(huán)Kn的元素y輸入到所述第一逆變換單元����,以生成包括通過所述第一逆變換單元、所述元素計算單元��、所述元素選擇單元和所述第二逆變換單元的處理所獲得的所述有限環(huán)Kn的元素X的電子簽名σ����。在該情形中,如果所述元素選擇單元輸出了異常值���,則所述簽名生成單元導(dǎo)致所述數(shù)生成單元生成不同的數(shù)r�����,并且����,基于所述不同的數(shù)r�,將由所述數(shù)據(jù)生成單元所生成的所述有限環(huán)Kn的元素y輸入到所述第一逆變換單元,以生成包括通過所述第一逆變換單元、所述元素計算單元��、所述元素選擇單元和所述第二逆變換單元的處理所 獲得的所述有限環(huán)Kn的元素X的電子簽名σ�����。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第三方面�����,提供了一種密鑰生成裝置,包括秘密密鑰生成單元,該秘密密鑰生成單元生成由計算算法所使用的秘密密鑰,該計算算法具有第一逆變換單元����,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1將包括由η個數(shù)所組成的元素的有限環(huán)Kn的元素y變換成所述有限環(huán)Kn的元素y';元素計算單元���,該元素計算單元將通過所述第一逆變換單元所獲得的有限環(huán)Kn的元素y'看作有限環(huán)K的η次擴(kuò)展A的元素Y�����,并且���,通過利用所述元素Y來計算由預(yù)定多變量多項式所表示的映射f (f A —A)的原像的元素X e {Z e AI f (Z) = Y};元素選擇單元,該元素選擇單元以與所述原像的元素數(shù)α成正比的概率P選擇由所述元素計算單元所計算的所述原像的一個元素X,并且,以概率(Ι-p)輸出異常值;以及第二逆變換單元�,該第二逆變換單元將由所述元素選擇單元所選擇的所述元素X看作有限環(huán)Kn的元素X�,���,并且�����,通過第二秘密多項式S的逆變換S—1將所述有限環(huán)Kn的元素X'變換成所述有限環(huán)Kn的元素X�����,其中,該秘密密鑰包括關(guān)于所述第一秘密多項式Τ��、所述第二秘密多項式S和所述預(yù)定多變量多項式的信息�;以及公鑰生成單元�,該公鑰生成單元生成公鑰�����,該公鑰包括關(guān)于由所述第一秘密多項式Τ���、所述映射f和所述第二秘密多項式S所組成的復(fù)合映射F的信息。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第四方面,提供了一種密鑰生成裝置,包括部分元素選擇單元����,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素νχ ;秘密密鑰生成單元,該秘密密鑰生成單元生成由計算算法所使用的秘密密鑰����,該計算算法具有第一逆變換單元���,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1將包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素y';元素計算單元���,該元素計算單元將通過所述第一逆變換單元所獲得的有限環(huán)Km的元素y'看作有限環(huán)K的m次擴(kuò)展A的元素Y���,并且��,通過利用所述元素Y和由所述部分元素選擇單元所選擇的所述元素νχ來計算由預(yù)定多變量多項式所表示的映射f(f =AXKv — B,B是所述有限環(huán)k的ο次擴(kuò)展)的原像的元素Xe {Z e B| f (Ζ,νχ) = Y};元素選擇單元�,該元素選擇單元以與所述原像的元素數(shù)α成正比的概率P選擇由所述元素計算單元所計算的所述原像的一個元素X�,并且�����,以概率(I-P)輸出異常值���;以及第二逆變換單元,該第二逆變換單元將由所述元素選擇單元所選擇的所述元素X看作有限環(huán)K。的元素οχ���,并且�,通過第二秘密多項式S的逆變換s—1將所述有限環(huán)Kn(n = ο+χ)的元素X�,= (οχ, νχ)變換成所述有限環(huán)Kn的元素X�����,其中�,該秘密密鑰包括關(guān)于所述第一秘密多項式Τ�����、所述第二秘密多項式S和所述預(yù)定多變量多項式的信息�;以及公鑰生成單元,該公鑰生成單元生成公鑰,該公鑰包括關(guān)于由所述第一秘密多項式Τ、所述映射f和所述第二秘密多項式S所組成的復(fù)合映射F的信息����。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第五方面,提供了一種信息處理裝置,包括部分元素選擇單元���,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素νχ ;數(shù)生成單元����,該數(shù)生成單元生成數(shù)r ;數(shù)據(jù)生成單元�,該數(shù)據(jù)生成單元通過利用由所述數(shù)生成單元所生成的所述數(shù)r和電子數(shù)據(jù)M來生成所述有限環(huán)Kn的元素y ;第一逆變換單元,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1將由所述數(shù)據(jù)生成單元所生成的有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素y';元素計算單元��,該元素計算單元通過利用由所述第一逆變換單元所獲得的所述有限環(huán)Km的元素y'和由所述部分元素選擇單元所選擇的所述元素vx來計算由預(yù)定多變量多項式所表示的映射f (f Kn — Κ°, η = ο+ν)的元素οχ e {Z e K°|f(Z, νχ) = y' };元素選擇單元,如果存在所述原像的元素,則該元素 選擇單元選擇由所述元素計算單元所計算的所述原像的所述元素ox,并且��,如果不存在所述原像的元素,則該元素選擇單元導(dǎo)致所述數(shù)生成單元生成不同的數(shù)r���,并且���,通過利用所述不同的數(shù)r�,選擇通過所述數(shù)據(jù)生成單元�����、所述第一逆變換單元和所述元素計算單元的處理所計算的所述原像的元素ox ;第二逆變換單元�����,該第二逆變換單元通過第二秘密多項式S的逆變換S4將包括由所述元素選擇單元所選擇的所述元素ox的所述有限環(huán)Kn (η = ο+χ)的元素x’ = (οχ, νχ)變換成所述有限環(huán)Kn的元素Χ;以及簽名生成單元,該簽名生成單元生成包括通過所述第二逆變換單元所獲得的所述有限環(huán)Kn的元素X的電子簽名σ��。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第六方面,提供了一種信息處理裝置�,包括數(shù)據(jù)生成單元�,該數(shù)據(jù)生成單元通過利用電子數(shù)據(jù)M來生成包括由m個數(shù)所組成的元素的所述有限環(huán)Km的元素y ;部分元素選擇單元,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素νχ ;第一逆變換單元�����,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1將由所述數(shù)據(jù)生成單元所生成的所述有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素f ;元素計算單元����,該元素計算單元通過使用由所述第一逆變換單元所獲得的所述有限環(huán)Km的元素y'和由所述部分元素選擇單元所選擇的所述元素νχ來計算由預(yù)定多變量多項式所表示的映射:κη — K°, n = 0+V)的元素οχ e {Ζ e K0I f (Ζ, νχ) = y' };元素選擇單元�,如果存在所述原像的元素����,則該元素選擇單元選擇由所述元素計算單元所計算的所述原像的所述元素ox���,并且,如果不存在所述原像的元素��,則該元素選擇單元導(dǎo)致所述部分元素選擇單元選擇不同的數(shù)νχ�,并且,通過利用所述不同的數(shù)νχ�,選擇通過所述第一逆變換單元和所述元素計算單元的處理所計算的所述原像的元素οχ ;第二逆變換單元��,該第二逆變換單元通過第二秘密多項式S的逆變換S—1將包括由所述元素選擇單元所選的所述元素ox的所述有限環(huán)Kn(η = ο+χ)的元素X’= (οχ,νχ)變換成所述有限環(huán)Kn的元素χ ;以及簽名生成單元,該簽名生成單元生成包括通過所述第二逆變換單元所獲得的所述有限環(huán)Kn的元素χ的電子簽名σ����,其中,針對所述有限環(huán)K的元素數(shù)q�����,m滿足η彡m+ β條件����,并且,β滿足q_@ << I條件。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第七方面�,提供了一種信息處理裝置���,包括數(shù)據(jù)生成單元,該數(shù)據(jù)生成單元通過利用電子數(shù)據(jù)M來生成包括由m個數(shù)所組成的元素的所述有限環(huán)Km的元素y ;部分元素選擇單元�,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素νχ ;第一逆變換單元���,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1將由所述數(shù)據(jù)生成單元所生成的所述有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素f ;元素計算單元��,該元素計算單元通過使用由所述第一逆變換單元所獲得的所述有限環(huán)Km的元素y'和由所述部分元素選擇單元所選擇的所述元素νχ來計算由預(yù)定多變量多項式所表示的映射:κη — K°, n = 0+V)的元素οχ e {Ζ e K0I f (Ζ, νχ) = y' };元素選擇單元��,如果存在所述原像的元素,則該元素選擇單元選擇由所述元素計算單元所計算的所述原像的所述元素ox,并且,如果不存在所述原像的元素,則該元素選擇單元導(dǎo)致所述部分元素選擇單元選擇不同的數(shù)νχ�����,并且����,通過利用所述不同的數(shù)νχ���,選擇通過所述第一逆變換單元和所述元素計算單元的處理所計算的所述原像的元素οχ ;第二逆變換單元�����,該第二逆變換單元通過第二秘密多項式S的逆變換S—1將包括由所述元素選擇單元所選的所述元素ox的所述有限環(huán)Κη(η = ο+χ)的元素χ’ = (οχ, νχ)變換成所述有限環(huán)Kn的元素X ;以及簽名生成單元�,該簽名生成單元生成包括通過所述第二逆變換單元所獲得的所述有限環(huán)Kn的元素X的電子簽名O,其中���,針對OX= (OX1,…,OXtj^PvX= (VX1, 'VXv),映射 f 被表示為 Mox1��,···, OX0, VX1, ···, VXv) = L(vx1; ...,VxvMox1, ···, ox0)T+g(vx1��;…,VXv), L 被表示為 L(vx1; ···, VXv) = L1L2(VX1, ···, vxv)L3,其中,L1 和 L3 是非奇異矩陣,并且��,L2是具有將Vx1,…,vxv的函數(shù)IijOx1, .",Vxv)作為第i行第j列元素并將I作為對角線分量的上三角矩陣或下三角矩陣��。第二秘密多項式S可以是身份映射。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第八方面����,提供了一種密鑰生成裝置���,包括秘密密鑰生成單元,該秘密密鑰生成單元生成由計算算法所使用的秘密密鑰,該計算算法具有部分元素選擇單元和數(shù)生成單元����,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素vx�,該數(shù)生成單元生成數(shù)r ;數(shù)據(jù)生成單元����,該數(shù)據(jù)生成單元通過利用由所述數(shù)生成單元所生成的數(shù)r和電子數(shù)據(jù)M來生成包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y ;第一逆變換單元�,該第一逆變換單元通過第一秘密多項式T的逆變換T—1將由所述數(shù)據(jù)生成單元所生成的所述有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素y';元素計算單元,該元素計算單元通過使用由所述第一逆變換單元所獲得的所述有限環(huán)Km的元素I'和由所述部分元素選擇單元所選擇的所述元素vx來計算由預(yù)定多變量多項式所表示的映射f(f :Κη —Κ°, η = ο+ν)的元素οχ e {ζ e K01 f (Ζ, νχ) = y' };元素選擇單元,如果存在所述原像的元素,則該元素選擇單元選擇由所述元素計算單元所計算的所述原像的所述元素ox�����,并且,如果不存在所述原像的元素���,則該元素選擇單元導(dǎo)致所述數(shù)生成單元選擇不同的數(shù)r���,并且,通過利用所述不同的數(shù)r����,選擇通過所述數(shù)據(jù)生成單元����、所述第一逆變換單元和所述元素計算單元的處理所計算的所述原像的元素ox ;第二逆變換單元����,該第二逆變換單元通過第二秘密多項式S的逆變換S4將包括由所述元素選擇單元所選的所述元素OX的所述有限環(huán)Κη(η = ο+χ)的元素χ’ = (οχ, νχ)變換成所述有限環(huán)Kn的元素χ ����;以及簽名生成單元���,該簽名生成單元生成包括通過所述第二逆變換單元所獲得的所述有限環(huán)Kn的元素χ的電子簽名σ��,其中�,該秘密密鑰包括關(guān)于所述第一秘密多項式Τ、所述第二秘密多項式S和所述預(yù)定多變量多項式的信息����;以及公鑰生成單元����,該公鑰生成單元生成公鑰��,該公鑰包括關(guān)于由所述第一秘密多項式Τ、所述映射f和所述第二秘密多項式S所組成��、的復(fù)合映射F的信息���。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第九方面��,提供了一種信息驗證裝置���,包括獲取單元���,該獲取單元從簽名生成裝置獲取關(guān)于由第一秘密多項式T���、映射f和第二秘密多項式S所組成的復(fù)合映射F���、電子簽名O和電子數(shù)據(jù)M的信息�,該簽名生成裝置具有部分元素選擇單元和數(shù)生成單元����,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素vx�����,該數(shù)生成單元生成數(shù)r ;第一數(shù)據(jù)生成單元���,該第一數(shù)據(jù)生成單元通過利用由所述數(shù)生成單元所生成的數(shù)r和電子數(shù)據(jù)M來生成包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y ;第一逆變換單元����,該第一逆變換單元通過第一秘密多項式T的逆變換T—1將由所述數(shù)據(jù)生成單元所生成的所述有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素y';元素計算單元����,該元素計算單元通過使用由所述第一逆變換單元所獲得的所述有限環(huán)Km的元素I'和由所述部分元素選擇單元所選擇的所述元素vx來計算由預(yù)定多變量多項式所表示的映射f (f :κη — K°,n = 0+V)的元素ox e {z e K0I f (Ζ,νχ) = y' };元素選擇單元,如果存在所述原像的元素����,則該元素選擇單元選擇由所述元素計算單元所計算的所述原像的所 述元素ox�,并且,如果不存在所述原像的元素�,則該元素選擇單元導(dǎo)致所述數(shù)生成單元選擇不同的數(shù)r����,并且,通過利用所述不同的數(shù)r���,選擇通過所述第一數(shù)據(jù)生成單元�、所述第一逆變換單元和所述元素計算單元的處理所計算的所述原像的元素ox ;第二逆變換單元,該第二逆變換單元通過第二秘密多項式S的逆變換S—1將包括由所述元素選擇單元所選的所述元素ox的所述有限環(huán)Κη(η = ο+χ)的元素χ’ = (οχ, νχ)變換成所述有限環(huán)Kn的元素χ ;以及簽名生成單元��,該簽名生成單元生成包括通過所述第二逆變換單元所獲得的所述有限環(huán)Kn的元素χ和由所述數(shù)生成單元所生成的數(shù)r的電子簽名σ ;第二數(shù)據(jù)生成單元���,該第二數(shù)據(jù)生成單元通過利用包括在電子簽名σ中的數(shù)r和所述電子數(shù)據(jù)M來生成所述有限環(huán)Km的元素yl ;第三數(shù)據(jù)生成單元,該第三數(shù)據(jù)生成單元通過將包括在電子簽名σ中的所述有限環(huán)Kn的元素χ應(yīng)用到所述復(fù)合映射F來生成所述有限環(huán)Km的元素y2 ��;以及驗證單元,該驗證單元驗證由所述第二數(shù)據(jù)生成單元所生成的有限環(huán)Km的元素yl是否與由所述第三數(shù)據(jù)生成單元所生成的有限環(huán)Km的元素y2相匹配。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第十方面�,提供了一種信息處理方法�,包括通過第一秘密多項式T的逆變換T—1將包括由η個數(shù)所組成的元素的有限環(huán)Kn的元素y變換成所述有限環(huán)Kn的元素y'的第一逆變換步驟�;將通過所述第一逆變換步驟中所獲得的有限環(huán)Kn的元素y'看作有限環(huán)K的η次擴(kuò)展A的元素Y并通過利用所述元素Y來計算由預(yù)定多變量多項式所表示的映射f(f :Α —Α)的原像的元素Xe {Ze A|f(Z) = Y}的元素計算步驟�����;以與所述原像的元素數(shù)α成正比的概率P選擇在所述元素計算步驟中所計算的所述原像的一個元素X并以概率(I-P)輸出異常值的元素選擇步驟;以及將在所述元素選擇步驟中所選擇的所述元素X看作所述有限環(huán)Kn的元素χ'并通過第二秘密多項式S的逆變換S—1將所述有限環(huán)Kn的元素χ'變換成所述有限環(huán)Kn的元素χ的第二逆變換步驟。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第十一方面,提供了一種信息處理方法���,包括選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素νχ的部分元素選擇步驟��;通過第一秘密多項式T的逆變換Γ1將包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素y'的第一逆變換步驟�����;將在所述第一逆變換步驟中所獲得的有限環(huán)Km的元素I'看作有限環(huán)K的m次擴(kuò)展A的元素Y并通過利用所述元素Y和在所述部分元素選擇步驟中所選擇的所述元素vx來計算由預(yù)定多變量多項式所表示的映射f (f =AXKv — B�,B是所述有限環(huán)K的ο次擴(kuò)展)的原像的元素Xe {Z e B|f(Z, νχ) = Y}的元素計算步驟�;以與所述原像的元素數(shù)α成正比的概率P選擇由所述元素計算單元所計算的所述原像的一個元素X并以概率(I-P)輸出異常值的元素選擇步驟;以及將在所述元素選擇步驟中所選擇的所述元素X看作有限環(huán)K��。的元素οχ并通過第二秘密多項式S的逆變換S—1將所述有限環(huán)Γ(η = ο+χ)的元素χ’ = (οχ, νχ)變換成所述有限環(huán)Kn的元素χ的第二逆變換步驟�。
根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第十二方面�,提供了一種簽名生成方法,包括選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素νχ的部分元素選擇步驟��;生成數(shù)r的數(shù)生成步驟;通過利用在所述數(shù)生成步驟中所生成的所述數(shù)r和電子數(shù)據(jù)M來生成包括由m個數(shù)所組成的元素的有限環(huán)Kn的元素y的數(shù)據(jù)生成步驟;通過第一秘密多項式T的逆變換Γ1將在所述數(shù)據(jù)生成步驟中所生成的有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素y';通過利用在所述第一逆變換步驟中所獲得的所述有限環(huán)Km的元素y'和在所述部分元素選擇步驟中所選擇的所述元素vx來計算由預(yù)定多變量多項式所表示的映射f (f :Kn — K°, n = 0+V)的元素ox e {z e K01 f (Ζ, νχ) = y' }的元素計算步驟����;如果存在所述原像的元素,則元素選擇步驟選擇在所述元素計算步驟中所計算的所述原像的所述元素ox��,并且��,如果不存在所述原像的元素�,則該元素選擇步驟導(dǎo)致所述數(shù)生成步驟生成不同的數(shù)r,并且��,通過利用所述不同的數(shù)r����,選擇通過所述數(shù)據(jù)生成步驟、所述第一逆變換步驟和所述元素計算步驟中的處理所計算的所述原像的元素ox ;通過第二秘密多項式S的逆變換S—1將包括在所述元素選擇步驟中所選擇的所述元素ox的所述有限環(huán)Κη(η = ο+χ)的元素χ’ = (οχ, νχ)變換成所述有限環(huán)Kn的元素χ的第二逆變換步驟�;以及生成包括在所述第二逆變換步驟中所獲得的所述有限環(huán)Kn的元素χ的電子簽名σ的簽名生成步驟。根據(jù)為了達(dá)到上述目標(biāo)的本發(fā)明的第十三方面����,提供了一種程序����,該程序?qū)е掠嬎銠C(jī)執(zhí)行以下步驟通過第一秘密多項式T的逆變換Γ1將包括由η個數(shù)所組成的元素的有限環(huán)Kn的元素y變換成所述有限環(huán)Kn的元素y'的第一逆變換步驟����;將通過所述第一逆變換步驟中所獲得的有限環(huán)Kn的元素y'看作有限環(huán)K的η次擴(kuò)展A的元素Y并通過利用所述元素Y來計算由預(yù)定多變量多項式所表示的映射f (f :Α — Α)的原像的元素Xe {Z eA|f(Z) =Yj的元素計算步驟;以與所述原像的元素數(shù)α成正比的概率P選擇在所述元素計算步驟中所計算的所述原像的一個元素X并以概率(I-P)輸出異常值的元素選擇步驟��;以及將在所述元素選擇步驟中所選擇的所述元素X看作所述有限環(huán)Kn的元素χ'并通過第二秘密多項式S的逆變換S—1將所述有限環(huán)Kn的元素χ'變換成所述有限環(huán)Kn的元素χ的第二逆變換步驟����。發(fā)明的有益效果根據(jù)本發(fā)明����,如上所述,可實現(xiàn)對應(yīng)于MPKC簽名方法中所使用的帶有陷門的單向函數(shù)的映射雙射或接近映射雙射的屬性���。結(jié)果��,針對MPKC簽名方法,可確保來自選定消息攻擊的安全���。
圖I是示出了帶有陷門的單向函數(shù)的屬性的說明示圖。
圖2是提供了對使用帶有陷門的單向函數(shù)的FDH簽名方法的概述的說明示圖����。圖3是示出了 RSA函數(shù)的屬性的說明示圖���。圖4是提供了對基于RS函數(shù)的FDH簽名方法的概述的說明示圖��。圖5是示出了 HFE函數(shù)的屬性的說明示圖。圖6是提供了對基于HFE函數(shù)的PFDH簽名方法的概述的說明示圖����。圖7是示出了 HFE函數(shù)的屬性的說明示圖。圖8是示出了根據(jù)本發(fā)明的第一實施例的技術(shù)所應(yīng)用的HFE函數(shù)(擴(kuò)展的HFE函數(shù))的屬性的說明示圖���。圖9是示出了 OV函數(shù)的屬性的說明示圖。圖10是提供了對基于OV函數(shù)的FDH簽名方法的概述的說明示圖�����。圖11是示出了根據(jù)本發(fā)明的第二實施例的技術(shù)所應(yīng)用的基于OV函數(shù)的FDH簽名方法(擴(kuò)展的OV簽名方法)的屬性的說明示圖�。圖12是示出了 HFEv函數(shù)的屬性的說明示圖。圖13是提供了對基于HFEv函數(shù)的FDH簽名方法的概述并示出了根據(jù)本發(fā)明的第三實施例的擴(kuò)展方法的說明示圖。圖14是示例出根據(jù)基于HFE函數(shù)的PFDH簽名方法的簽名生成算法的說明示圖����。圖15是示例出根據(jù)基于HFE函數(shù)的PFDH簽名方法的簽名驗證算法的說明示圖�。圖16是示例出根據(jù)基于OV/HFEv函數(shù)的FDH簽名方法的簽名生成算法的說明示圖。圖17是示例出根據(jù)基于OV/HFEv函數(shù)的FDH簽名方法的簽名驗證算法的說明示圖��。圖18是示例出根據(jù)本發(fā)明的第一實施例(擴(kuò)展的HFE簽名方法)的簽名生成算法的說明示圖���。圖19是示例出根據(jù)本發(fā)明的第一實施例(擴(kuò)展的HFE簽名方法)的簽名驗證算法的說明示圖���。圖20是示例出根據(jù)本發(fā)明的第三實施例(第一擴(kuò)展的HFEv簽名方法)的簽名生成算法的說明示圖����。圖21是示例出根據(jù)本發(fā)明的第三實施例(第一擴(kuò)展的HFEv簽名方法)的簽名驗證算法的說明示圖���。 圖22是示例出根據(jù)本發(fā)明的第二實施例(第一擴(kuò)展的OV簽名方法)的簽名生成算法的說明示圖。圖23是示例出根據(jù)本發(fā)明的第二實施例(第一擴(kuò)展的OV簽名方法)的簽名生成算法的說明示圖�。圖24是示例出根據(jù)本發(fā)明的第三實施例(第二擴(kuò)展的HFEv簽名方法)的簽名生成算法的說明示圖����。圖25是示例出根據(jù)本發(fā)明的第三實施例(第二擴(kuò)展的HFEv簽名方法)的簽名驗證算法的說明示圖�。圖26是示例出根據(jù)本發(fā)明的第二實施例(第二擴(kuò)展的OV簽名方法)的簽名生成算法的說明示圖。
圖27是示例出根據(jù)本發(fā)明的第二實施例(第二擴(kuò)展的OV簽名方法)的簽名驗證算法的說明示圖���。圖28是示出了能夠?qū)崿F(xiàn)根據(jù)本發(fā)明的第一至第三實施例的電子簽名方法的系統(tǒng)的配置示例的說明示圖�����。圖29是提供了對基于HFE函數(shù)的PFDH簽名方法的安全認(rèn)證的概述的說明示圖。圖30是提供了對基于OV函數(shù)的FDH簽名方法的安全認(rèn)證的概述的說明示圖。圖31是示出了能夠?qū)崿F(xiàn)根據(jù)本發(fā)明的第一至第三實施例的電子簽名方法的系統(tǒng)的各種裝置的硬件配置示例的說明示圖�����。
具體實施方式
以下�����,將參照附圖來詳細(xì)描述本發(fā)明的優(yōu)選實施例。注意,在本說明書和示圖中��,用相同的參考標(biāo)志來表示具有本質(zhì)上相同的功能和結(jié)構(gòu)的元件,并且��,省去了重復(fù)的說明�����。[描述流程]將簡要談及關(guān)于以下所描述的本發(fā)明的實施例的描述流程。首先����,參照圖I至圖4來簡要描述帶有陷門的單向函數(shù)和利用該函數(shù)的電子簽名方法��。在描述中���,RSA函數(shù)被引用為帶有陷門的單向函數(shù),并且,描述了其屬性���,并且,還簡要描述了利用RSA函數(shù)的FDH簽名方法。參照圖28來簡要描述電子簽名系統(tǒng)的系統(tǒng)配置示例��。接下來���,參照圖5至圖8���、圖14����、圖15�����、圖18和圖19來描述根據(jù)本發(fā)明的第一實施例的帶有陷門的單向函數(shù)和利用該函數(shù)的電子簽名方法(以下�,稱為擴(kuò)展的HFE簽名方法)���。在描述中�����,描述了一般的HFE函數(shù)和利用該HFE函數(shù)的電子簽名方法�����,參照圖29�����,指出了該電子簽名方法的問題��,并且,描述了通過應(yīng)用根據(jù)本發(fā)明的第一實施例的技術(shù)所獲得的改進(jìn)效果��。接下來�,參照圖9至圖11����、圖16��、圖17、圖22���、圖23、圖26和圖27來描述根據(jù)本發(fā)明的第二實施例的帶有陷門的單向函數(shù)和利用該函數(shù)的電子簽名方法(以下���,稱為擴(kuò)展的OV簽名方法)���。在描述中����,描述了一般的OV函數(shù)和利用該OV函數(shù)的電子簽名方法���,參照圖30�����,指出了該電子簽名方法的問題����,并且����,描述了通過應(yīng)用根據(jù)本發(fā)明的第二實施例的技術(shù)所獲得的改進(jìn)效果。接下來���,參照圖12���、圖13、圖16、圖17�����、圖20��、圖21、圖24和圖25來描述根據(jù)本發(fā)明的第三實施例的帶有陷門的單向函數(shù)和利用該函數(shù)的電子簽名方法(以下���,稱為擴(kuò)展的HFEv簽名方法)。在描述中,描述了組合一般的HFE簽名方法和OV簽名方法的HFEv簽名方法,指出了該電子簽名方法的問題��,并且����,描述了通過應(yīng)用根據(jù)本發(fā)明的第三實施例的技術(shù)所獲得的改進(jìn)效果。接下來����,提供了關(guān)于根據(jù)本發(fā)明的第一至第三實施例的電子簽名方法的擴(kuò)展的補(bǔ)充描述���。接下來����,簡要描述了包括在能夠?qū)崿F(xiàn)根據(jù)本發(fā)明的第一至第三實施例的電子簽名方法的電子簽名系統(tǒng)中的各種裝置的配置示例。最后�,總結(jié)了本發(fā)明的第一至第三實施例的技術(shù)想法���,并且���,簡要描述了從該技術(shù)想法所獲得的操作效果�。(描述項目)I.介紹1-1.電子簽名系統(tǒng)的配置示例
1-2.帶有陷門的單向函數(shù)的屬性1-3.基于帶有陷門的單向函數(shù)的電子簽名方法1-4. RSA 簽名方法2.第一實施例(HFE簽名方法的應(yīng)用示例)2-1. HFE函數(shù)的屬性2-2. HFE 簽名方法2-3.擴(kuò)展的HFE簽名方法3.第二實施例(0V簽名方法的應(yīng)用示例)3-1. OV函數(shù)的屬性3-2. OV簽名方法3-3.第一擴(kuò)展的OV簽名方法3-4.第二擴(kuò)展的OV簽名方法4.第三實施例(HFEv簽名方法的應(yīng)用示例)4-1 · HFEV函數(shù)的屬性4-2. HFEv 簽名方法4-3.第一擴(kuò)展的HFEv簽名方法4-4.第二擴(kuò)展的HFEv簽名方法5.補(bǔ)充5-1.對PSS簽名方法的擴(kuò)展5-2.對多層OV簽名方法的擴(kuò)展5-3. HFE 函數(shù) Ft 的減擴(kuò)展方法(Minus Extension Method)6.硬件配置示例7.結(jié)論〈I.介紹 >首先�,在描述本發(fā)明的實施例之前,將簡要描述電子簽名系統(tǒng)的系統(tǒng)配置、電子簽名方法中所使用的帶有陷門的單向函數(shù)的屬性、以及基于帶有陷門的單向函數(shù)的電子簽名方法的示例(FDH簽名方法和RSA簽名方法)����。[1-1.電子簽名系統(tǒng)的配置示例]首先���,將參照圖28來描述電子簽名系統(tǒng)的系統(tǒng)配置示例��。圖28是示出了電子簽名系統(tǒng)的系統(tǒng)配置示例的說明示圖。例如���,通過將稍后描述的各種電子簽名方法的操作算法具體地應(yīng)用于圖28中所示的系統(tǒng)配置,可構(gòu)造基于操作算法的電子簽名系統(tǒng)����。如圖28中所示�����,電子簽名系統(tǒng)包括簽名方10和驗證方20兩個實體。電子簽名系統(tǒng)的功能通過密鑰生成算法Gen�����、簽名生成算法Sig和簽名驗證算法Ver三種算法實現(xiàn)�����。密鑰生成算法Gen和簽名生成算法Sig由簽名方10使用。簽名驗證算法Ver由驗證方20使用����。在圖28的示例中����,密鑰生成算法Gen由密鑰生成裝置100執(zhí)行�。簽名生成算法Sig由 簽名生成裝置150執(zhí)行����。簽名驗證算法Ver由簽名驗證裝置200執(zhí)行�。系統(tǒng)參數(shù)CP被給予簽名方10。系統(tǒng)參數(shù)CP例如由電子簽名系統(tǒng)的管理員給予。系統(tǒng)參數(shù)cp是基于安全參數(shù)1λ生成的��。針對系統(tǒng)參數(shù)cp的輸入,密鑰生成算法Gen輸出特定于簽名方10的一對簽名密鑰sk和驗證密鑰pk((sk, pk) — Gen(cp))。簽名密鑰sk被保密,并且��,被用于由簽名方10生成電子簽名����。另一方面,驗證密鑰Pk被發(fā)布給驗證方20,并且�����,被用于由驗證方20進(jìn)行對電子簽名的驗證���。針對從密鑰生成算法Gen輸出的簽名密鑰sk和添加了電子簽名的電子數(shù)據(jù)(以下,稱為消息)M的輸入�����,簽名生成算法Sig輸出電子簽名σ(σ —Sig(sk�,M))�����。電子簽名與消息M —起被提供到驗證方20����,并且,被用于驗證消息M的真實性。針對由簽名方10所發(fā)布的驗證密鑰pk、簽名方10所提供的消息M和電子簽名σ的輸入���,簽名驗證算法Ver輸出驗證結(jié)果0/1。例如����,如果電子簽名σ證實了消息M的真實性((Μ,σ)被接受)��,則簽名驗證算法Ver輸出I���。另一方面���,如果電子簽名σ未證實消息M的真實性((Μ,σ )被拒絕),則簽名驗證算法Ver輸出O。如上所述��,電子簽名系統(tǒng)主要包括密鑰生成算法Gen、簽名生成算法Sig和簽名驗證算法Ver。針對不同的電子簽名方法,這些算法是不同的�����。本說明書集中于簽名生成算法Sig和簽名驗證算法Ver。
[1-2.帶有陷門的單向函數(shù)的屬性]通過使用帶有陷門Ft的單向函數(shù),實現(xiàn)了簽名生成算法Sig和簽名驗證算法Ver的功能。如圖I中所示����,帶有陷門Ft的單向函數(shù)是這樣一種函數(shù)如果陷門未知�,則很難從該函數(shù)獲得反向操作結(jié)果(X = Ff1(Y))�����。S卩�,雖然存在用于(A)Ft的反向計算(Y = Ft(X))的無需陷門而有效計算的計算算法���,但是��,不存在用于(B)Ft的反向計算的無需陷門而有效計算的計算算法。具有這種屬性的函數(shù)Ft被稱為帶有陷門的單向函數(shù)���。在本說明書中��,將使用“前向計算算法”和“反向計算算法”的表達(dá)�����。將描述“前向計算算法”和“反向計算算法”的定義。用于映射f :A — B的“前向計算算法”是這樣一種算法當(dāng)提供了 χ e A時���,計算滿足f (χ) = y的y e B。另一方面,用于映射f :A — B的“反向計算算法”是這樣一種算法當(dāng)提供了 y e B時,計算滿足fVy) = χ的χ e A�����。在前向計算算法中,針對輸入χ e A來決定一個輸出值f (χ) = γ���。另一方面,在反向計算算法中���,針對輸入y e B,可存在多個輸出值X���,或可不存在輸出值����。因此,反向計算算法的輸出值變?yōu)锳 U {err}���,其中����,err表示異常值。[1-3.基于帶有陷門的單向函數(shù)的電子簽名方法]帶有陷門的單向函數(shù)Ft被以圖2中所示的形式應(yīng)用于簽名生成算法Sig和簽名驗證算法Ver�。圖2是提供了對被稱為FDH簽名方法的電子簽名方法的概述的說明示圖��。FDH簽名方法的特征在于哈希值(Hash值)而非消息M被用作用于生成電子簽名的輸入值��。通過利用哈希函數(shù)(Hash函數(shù))來計算哈希值H?�?捎扇魏稳藖韴?zhí)行對哈希值H的生成處理(C)��。在利用帶有陷門的單向函數(shù)Ft的電子簽名方法中��,驗證密鑰pk是帶有陷門的單向函數(shù)Ft��。簽名密鑰sk是帶有陷門的單向函數(shù)Ft的陷門���。因此��,帶有陷門的單向函數(shù)Ft被發(fā)布給驗證方20。另一方面,陷門由簽名方10秘密管理。簽名生成算法Sig是通過利用帶有陷門的單向函數(shù)Ft的反向操作(B)來從哈希值H生成電子簽名σ的計算算法。如果陷門未知,則很難執(zhí)行帶有陷門的單向函數(shù)Ft的反向操作(B)�。因此,除了簽名方10以外的各方無法生成電子簽名σ。另一方面,簽名驗證算法Ver是通過利用帶有陷門的單向函數(shù)Ft的前向操作(A)來驗證消息M的電子簽名σ的真實性的計算算法。無需知曉陷門��,就可執(zhí)行帶有陷門的單向函數(shù)Ft的前向計算算法(A)����。因此���,任何知曉驗證密鑰pk(帶有陷門的單向函數(shù)Ft)的人可驗證電子簽名σ。通過使用上述帶有陷門的單向函數(shù)Ft�,簽名方10肯定可被附接到消息M的電子簽名σ所識別��。但是,假定不知道陷門的第三方不能容易地執(zhí)行對帶有陷門的單向函數(shù)Ft的逆運算。如果該假定不成立�����,則簽名方10可能不一定被電子簽名σ所識別��。[1-4. RSA 簽名方法]RSA函數(shù)可被引用為電子簽名系統(tǒng)所使用的典型的帶有陷門的單向函數(shù)Ft���。RSA函數(shù)Ft將反向運算的困難基于“難于找到將大的合數(shù)因式分解為素分量的計算解答(因式分解為素分量的問題)”����。如果P和q(p古q)是素數(shù),N = p*q, e是n_l個彼此互質(zhì)的整數(shù)��,d是滿足d*e ^ I (mod η)的整數(shù),并且,Zn是模N的剩余類環(huán)����,則RSA函數(shù)Ft被表示為以下公式⑴[數(shù)學(xué)I]
權(quán)利要求
1.一種信息處理裝置��,包括 第一逆變換單元�����,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1�,將包括由η個數(shù)所組成的元素的有限環(huán)Kn的元素y變換成所述有限環(huán)Kn的元素y'�����; 元素計算單元�,該元素計算單元將通過所述第一逆變換單元所獲得的有限環(huán)Kn的元素Y,看作有限環(huán)K的η次擴(kuò)展A的元素Y��,并且�,通過利用所述元素Y來計算由預(yù)定多變量多項式表示的映射f(f A — A)的原像的元素Xe {Z e A|f(Z) = Y}�����; 元素選擇單元,該元素選擇單元以與所述原像的元素數(shù)α成正比的概率P���,選擇由所述元素計算單元所計算的所述原像的一個元素X����,并且,以概率(I-P)輸出異常值�;以及第二逆變換單元���,該第二逆變換單元將由所述元素選擇單元所選擇的所述元素X看作所述有限環(huán)Kn的元素X,��,并且���,通過第二秘密多項式S的逆變換S—1��,將所述有限環(huán)Kn的元素V變換成所述有限環(huán)Kn的元素X。
2.一種信息處理裝置,包括 部分元素選擇單元�,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素VX ����; 第一逆變換單元,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1,將包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素y'��; 元素計算單元���,該元素計算單元將通過所述第一逆變換單元所獲得的有限環(huán)Km的元素Y,看作有限環(huán)K的m次擴(kuò)展A的元素Y,并且,通過利用所述元素Y和由所述部分元素選擇單元所選擇的所述元素vx來計算由預(yù)定多變量多項式所表示的映射f(f :AXKV —B, B是所述有限環(huán)K的ο次擴(kuò)展)的原像的元素Xe {Z e B | f (Z�����,vx) = Y}; 元素選擇單元��,該元素選擇單元以與所述原像的元素數(shù)α成正比的概率P��,選擇由所述元素計算單元所計算的所述原像的一個元素X����,并且�����,以概率(I-P)輸出異常值�;以及第二逆變換單元,該第二逆變換單元將由所述元素選擇單元所選擇的所述元素X看作有限環(huán)K����。的元素οχ���,并且,通過第二秘密多項式S的逆變換S—1�,將所述有限環(huán)Kn(n = ο+χ)的元素X’ = (ox, vx)變換成所述有限環(huán)Kn的元素X�。
3.根據(jù)權(quán)利要求I所述的信息處理裝置,還包括 數(shù)生成單元,該數(shù)生成單元生成數(shù)r �����; 數(shù)據(jù)生成單元�,該數(shù)據(jù)生成單元通過利用電子數(shù)據(jù)M和由所述數(shù)生成單元所生成的數(shù)r來生成所述有限環(huán)Kn的元素y ;以及 簽名生成單元�����,該簽名生成單元將由所述數(shù)據(jù)生成單元生成的所述有限環(huán)Kn的元素y輸入到所述第一逆變換單元,以生成包括通過所述第一逆變換單元�����、所述元素計算單元����、所述元素選擇單元和所述第二逆變換單元的處理所獲得的所述有限環(huán)Kn的元素X的電子簽名σ���,其中���,如果所述元素選擇單元輸出了異常值���,則所述簽名生成單元使所述數(shù)生成單元生成不同的數(shù)r,并且�����,基于所述不同的數(shù)r�����,將由所述數(shù)據(jù)生成單元所生成的所述有限環(huán)Kn的元素I輸入到所述第一逆變換單元���,以生成包括通過所述第一逆變換單元���、所述元素計算單元�、所述元素選擇單元和所述第二逆變換單元的處理所獲得的所述有限環(huán)Kn的元素X的電子簽名σ。
4.根據(jù)權(quán)利要求2所述的信息處理裝置���,還包括 數(shù)生成單元�,該數(shù)生成單元生成數(shù)r ;數(shù)據(jù)生成単元,該數(shù)據(jù)生成単元通過利用電子數(shù)據(jù)M和由所述數(shù)生成単元所生成的所述數(shù)r來生成所述有限環(huán)Kn的元素y �;以及 簽名生成単元�����,該簽名生成單元將由所述數(shù)據(jù)生成単元生成的所述有限環(huán)Kn的元素y輸入到所述第一逆變換單元��,以生成包括通過所述第一逆變換單元����、所述元素計算單元、所述元素選擇單元和所述第二逆變換單元的處理所獲得的所述有限環(huán)Kn的元素X的電子簽名σ,其中,如果所述元素選擇單元輸出了異常值�����,則所述簽名生成単元使所述數(shù)生成単元生成不同的數(shù)r�,并且�,基于所述不同的數(shù)r���,將由所述數(shù)據(jù)生成単元所生成的所述有限環(huán)Kn的元素I輸入到所述第一逆變換單元,以生成包括通過所述第一逆變換單元、所述元素計算單元、所述元素選擇單元和所述第二逆變換單元的處理所獲得的所述有限環(huán)Kn的元素X的電子簽名σ�����。
5.一種密鑰生成裝置����,包括 秘密密鑰生成単元,該秘密密鑰生成単元生成由計算算法所使用的秘密密鑰,該計算算法具有第一逆變換單元,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1將包括由η個數(shù)所組成的元素的有限環(huán)Kn的元素y變換成所述有限環(huán)Kn的元素デ���;元素計算單元���,該元素計算單元將通過所述第一逆變換單元所獲得的有限環(huán)Kn的元素デ看作有限環(huán)K的η次擴(kuò)展A的元素Y��,并且�����,通過利用所述元素Y來計算由預(yù)定多變量多項式所表示的映射f (f :A —A)的原像的元素X e {Z e AI f (Z) = Y};元素選擇單元,該元素選擇單元以與所述原像的元素數(shù)α成正比的概率ρ,選擇由所述元素計算單元所計算的所述原像的ー個元素X�,并且,以概率(Ι-p)輸出異常值;以及第ニ逆變換單元,該第二逆變換單元將由所述元素選擇單元所選擇的所述元素X看作有限環(huán)Kn的元素X'����,并且��,通過第二秘密多項式S的逆變換S—1��,將所述有限環(huán)Kn的元素X'變換成所述有限環(huán)Kn的元素X�,其中,所述秘密密鑰包括關(guān)于所述第一秘密多項式Τ�、所述第二秘密多項式S和所述預(yù)定多變量多項式的信息��;以及 公鑰生成単元,該公鑰生成単元生成公鑰,該公鑰包括關(guān)于由所述第一秘密多項式Τ����、所述映射f和所述第二秘密多項式S所組成的復(fù)合映射F的信息�����。
6.一種密鑰生成裝置�,包括 部分元素選擇單元,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素VX ; 秘密密鑰生成単元,該秘密密鑰生成単元生成由計算算法所使用的秘密密鑰�����,該計算算法具有第一逆變換單元,該第一逆變換單元通過第一秘密多項式T的逆變換T—1,將包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素デ;元素計算單元,該元素計算單元將通過所述第一逆變換單元所獲得的有限環(huán)Km的元素デ看作有限環(huán)K的m次擴(kuò)展A的元素Y,并且����,通過利用所述元素Y和由所述部分元素選擇單元所選擇的所述元素Vx來計算由預(yù)定多變量多項式表示的映射f (f =AXKv — B���,B是所述有限環(huán)k的ο次擴(kuò)展)的原像的元素X e {Z e B|f (Z, vx) = Y};元素選擇單元,該元素選擇單元以與所述原像的元素數(shù)α成正比的概率P,選擇由所述元素計算單元所計算的所述原像的ー個元素X�,并且����,以概率(I-P)輸出異常值;以及第二逆變換單元�����,該第二逆變換單元將由所述元素選擇單元所選擇的所述元素X看作有限環(huán)K����。的元素οχ�,并且��,通過第二秘密多項式S的逆變換S—1���,將所述有限環(huán)Kn(n = ο+χ)的元素X’ = (ox, vx)變換成所述有限環(huán)Kn的元素X����,其中,所述秘密密鑰包括關(guān)于所述第一秘密多項式T�����、所述第二秘密多項式S和所述預(yù)定多變量多項式的信息;以及 公鑰生成單元,該公鑰生成單元生成公鑰�,該公鑰包括關(guān)于由所述第一秘密多項式T�����、所述映射f和所述第二秘密多項式S所組成的復(fù)合映射F的信息����。
7.一種信息處理裝置,包括 部分元素選擇單元���,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素VX ; 數(shù)生成單元,該數(shù)生成單元生成數(shù)r ; 數(shù)據(jù)生成單元���,該數(shù)據(jù)生成單元通過利用電子數(shù)據(jù)M和由所述數(shù)生成單元所生成的所述數(shù)r來生成包括由m個數(shù)所組成的元素的所述有限環(huán)Km的元素y ���; 第一逆變換單元,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1�,將由所述數(shù)據(jù)生成單元所生成的有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素y'; 元素計算單元���,該元素計算單元通過利用由所述第一逆變換單元所獲得的所述有限環(huán)Km的元素y'和由所述部分元素選擇單元所選擇的所述元素vx來計算由預(yù)定多變量多項式表示的映射 f (f Kn — Κ°, η = ο+ν)的元素 οχ e {Ζ e K。I f(Z, vx) = y' }; 元素選擇單元���,如果存在所述原像的元素,則該元素選擇單元選擇由所述元素計算單元所計算的所述原像的所述元素ox,并且�,如果不存在所述原像的元素����,則該元素選擇單元使所述數(shù)生成單元生成不同的數(shù)r����,并且,通過利用所述不同的數(shù)r�,選擇通過所述數(shù)據(jù)生成單元�、所述第一逆變換單元和所述元素計算單元的處理所計算的所述原像的元素ox ;以及 第二逆變換單元,該第二逆變換單元通過第二秘密多項式S的逆變換S—1�,將包括由所述元素選擇單元所選擇的所述元素ox的所述有限環(huán)Kn(n = ο+χ)的元素X’ = (οχ,νχ)變換成所述有限環(huán)Kn的元素X ����;以及 簽名生成單元�����,該簽名生成單元生成包括通過所述第二逆變換單元所獲得的所述有限環(huán)Kn的元素X的電子簽名σ。
8.一種信息處理裝置,包括 數(shù)據(jù)生成單元��,該數(shù)據(jù)生成單元通過利用電子數(shù)據(jù)M來生成包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y; 部分元素選擇單元�,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素VX ; 第一逆變換單元,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1,將由所述數(shù)據(jù)生成單元所生成的所述有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素y'�; 元素計算單元��,該元素計算單元通過使用由所述第一逆變換單元所獲得的所述有限環(huán)Km的元素y'和由所述部分元素選擇單元所選擇的所述元素vx來計算由預(yù)定多變量多項式表示的映射 f (f κη — Κ°, η = ο+ν)的元素 οχ e {ζ e κ° I f(Z, vx) = y' }; 元素選擇單元���,如果存在所述原像的元素���,則該元素選擇單元選擇由所述元素計算單元所計算的所述原像的所述元素ox���,并且�,如果不存在所述原像的元素�����,則該元素選擇單元導(dǎo)致使所述部分元素選擇單元選擇不同的數(shù)vx���,并且,通過利用所述不同的數(shù)vx,選擇通過所述第一逆變換單元和所述元素計算單元的處理所計算的所述原像的元素ox ����;第二逆變換單元����,該第二逆變換單元通過第二秘密多項式S的逆變換S—1,將包括由所述元素選擇單元所選的所述元素OX的所述有限環(huán)Kn(n = ο+χ)的元素X’ = (οχ,νχ)變換成所述有限環(huán)Kn的元素X ���;以及 簽名生成単元�����,該簽名生成単元生成包括通過所述第二逆變換單元所獲得的所述有限環(huán)Kn的元素X的電子簽名σ��,其中,對于所述有限環(huán)K元素數(shù)q,m滿足η彡m+β條件����,并且,β滿足q_@ << I條件���。
9.ー種信息處理裝置�,包括 數(shù)據(jù)生成単元,該數(shù)據(jù)生成単元通過利用電子數(shù)據(jù)M來生成包括由m個數(shù)所組成的元素的所述有限環(huán)Km的元素y; 部分元素選擇單元,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素vx ��; 第一逆變換單元���,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1�����,將由所述數(shù)據(jù)生成単元所生成的所述有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素デ���; 元素計算單元�����,該元素計算單元通過使用由所述第一逆變換單元所獲得的所述有限環(huán)Km的元素デ和由所述部分元素選擇單元所選擇的所述元素vx來計算由預(yù)定多變量多項式表示的映射 f (f κη — Κ°, η = ο+ν)的元素 ox e {z e κ° I f(Z, vx) = y' }���; 元素選擇單元��,如果存在所述原像的元素����,則該元素選擇單元選擇由所述元素計算單元所計算的所述原像的所述元素ox��,并且�,如果不存在所述原像的元素���,則該元素選擇單元使所述部分元素選擇單元選擇不同的數(shù)vx,并且����,通過利用所述不同的數(shù)vx�,選擇通過所述第一逆變換單元和所述元素計算單元的處理所計算的所述原像的元素ox �; 第二逆變換單元��,該第二逆變換單元通過第二秘密多項式S的逆變換S—1���,將包括由所述元素選擇單元所選的所述元素ox的所述有限環(huán)Κη(η = ο+χ)的元素X’ = (οχ,νχ)變換成所述有限環(huán)Kn的元素X �;以及 簽名生成単元�,該簽名生成単元生成包括通過所述第二逆變換單元所獲得的所述有限環(huán)Kn的元素X的電子簽名O�,其中�����,對于OX= (OX1, ···, OXtj^PvX= (VX1, ·Η,νχν),映射 f 被表示為 Hox1���,···, OX0, VX1, ···, VXv) = L(vx1����; ...,VXvバOX1, ···, ox0)T+g(vx1���;VXv), L 被表示為 L(vx1; ···, VXv) = L1L2(VX1, ···, vxv)L3,其中����,L1 和 L3 是非奇異矩陣,并且�����,L2是具有將Vx1,…���,vxv的函數(shù)IijOx1, """,VXv)作為第i行第j列元素并將I作為對角線分量的上三角矩陣或下三角矩陣。
10.根據(jù)權(quán)利要求7所述的信息處理裝置����,其中�,所述第二秘密多項式S是身份映射��。
11.根據(jù)權(quán)利要求8所述的信息處理裝置����,其中�,所述第二秘密多項式S是身份映射��。
12.根據(jù)權(quán)利要求9所述的信息處理裝置,其中���,所述第二秘密多項式S是身份映射�。
13.一種密鑰生成裝置,包括 秘密密鑰生成単元,該秘密密鑰生成単元生成由計算算法所使用的秘密密鑰,該計算算法具有部分元素選擇單元和數(shù)生成單元����,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素vx,該數(shù)生成單元生成數(shù)r ;數(shù)據(jù)生成単元,該數(shù)據(jù)生成單元通過利用電子數(shù)據(jù)M和由所述數(shù)生成単元所生成的數(shù)r來生成包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y ;第一逆變換單元�,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1���,將由所述數(shù)據(jù)生成単元所生成的所述有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素デ�����;元素計算單元,該元素計算單元通過使用由所述第一逆變換單元所獲得的所述有限環(huán)Km的元素V和由所述部分元素選擇單元所選擇的所述元素VX來計算由預(yù)定多變量多項式表示的映射f (f :Kn — K0, η = ο+ν)的元素ox e {z e K01 f (Z, vx) = y' };元素選擇單元���,如果存在所述原像的元素,則該元素選擇單元選擇由所述元素計算單元所計算的所述原像的所述元素ox����,并且,如果不存在所述原像的元素,則該元素選擇單元使所述數(shù)生成單元生成不同的數(shù)r���,并且,通過利用所述不同的數(shù)r��,選擇通過所述數(shù)據(jù)生成單元�、所述第一逆變換單元和所述元素計算單元的處理所計算的所述原像的元素ox ;第二逆變換單元����,該第二逆變換單元通過第二秘密多項式S的逆變換S4,將包括由所述元素選擇單元所選的所述元素OX的所述有限環(huán)Κη(η = ο+χ)的元素X’ = (ox, vx)變換成所述有限環(huán)Kn的元素x �����;以及簽名生成單元�����,該簽名生成單元生成包括通過所述第二逆變換單元所獲得的所述有限環(huán)Kn的元素X的電子簽名σ����,其中���,所述秘密密鑰包括關(guān)于所述第一秘密多項式Τ���、所述第二秘密多項式S和所述預(yù)定多變量多項式的信息��;以及 公鑰生成單元����,該公鑰生成單元生成公鑰���,該公鑰包括關(guān)于由所述第一秘密多項式Τ���、所述映射f和所述第二秘密多項式S所組成的復(fù)合映射F的信息。
14.一種簽名驗證裝置�����,包括 獲取單元����,該獲取單元從簽名生成裝置獲取關(guān)于由第一秘密多項式T、映射f和第二秘密多項式S所組成的復(fù)合映射F的信息��、電子簽名σ和電子數(shù)據(jù)M,該簽名生成裝置具有部分元素選擇單元��,該部分元素選擇單元選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素VX ;數(shù)生成單元,該數(shù)生成單元生成數(shù)r ;第一數(shù)據(jù)生成單元,該第一數(shù)據(jù)生成單元通過利用所述電子數(shù)據(jù)M和由所述數(shù)生成單元所生成的數(shù)r來生成包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y ;第一逆變換單元�����,該第一逆變換單元通過第一秘密多項式T的逆變換Γ1����,將由所述第一數(shù)據(jù)生成單元所生成的所述有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素f ;元素計算單元,該元素計算單元通過使用由所述第一逆變換單元所獲得的所述有限環(huán)Km的元素y'和由所述部分元素選擇單元所選擇的所述元素vx來計算由預(yù)定多變量多項式表示的映射f (f :Kn — Κ°, η = ο+ν)的元素ox e {Z e K°| f (Z, vx) = y' };元素選擇單元���,如果存在所述原像的元素����,則該元素選擇單元選擇由所述元素計算單元所計算的所述原像的所述元素ox,并且���,如果不存在所述原像的元素�,則該元素選擇單元使所述數(shù)生成單元選擇不同的數(shù)r�,并且����,通過利用所述不同的數(shù)r,選擇通過所述第一數(shù)據(jù)生成單元���、所述第一逆變換單元和所述元素計算單元的處理所計算的所述原像的元素ox ;第二逆變換單元��,該第二逆變換單元通過第二秘密多項式S的逆變換S—1���,將包括由所述元素選擇單元所選的所述元素ox的所述有限環(huán)Κη(η = ο+χ)的元素χ’ = (οχ,νχ)變換成所述有限環(huán)Kn的元素χ ��;以及簽名生成單元�����,該簽名生成單元生成包括通過所述第二逆變換單元所獲得 的所述有限環(huán)Kn的元素χ和由所述數(shù)生成單元所生成的數(shù)r的電子簽名σ ; 第二數(shù)據(jù)生成單元��,該第二數(shù)據(jù)生成單元通過利用包括在所述電子簽名σ中的數(shù)r和所述電子數(shù)據(jù)M來生成所述有限環(huán)Km的元素yl ; 第三數(shù)據(jù)生成單元�����,該第三數(shù)據(jù)生成單元通過將包括在所述電子簽名σ中的所述有限環(huán)Kn的元素χ應(yīng)用到所述復(fù)合映射F來生成所述有限環(huán)Km的元素y2 ��;以及 驗證單元,該驗證單元驗證由所述第二數(shù)據(jù)生成單元所生成的有限環(huán)Km的元素yl與由所述第三數(shù)據(jù)生成單元所生成的有限環(huán)Km的元素y2是否匹配����。
15.—種信息處理方法,包括 第一逆變換步驟�,該步驟通過第一秘密多項式T的逆變換Γ1���,將包括由η個數(shù)所組成的元素的有限環(huán)Kn的元素y變換成所述有限環(huán)Kn的元素デ��; 元素計算步驟����,該步驟將所述第一逆變換步驟中所獲得的有限環(huán)Kn的元素デ看作有限環(huán)K的η次擴(kuò)展A的元素Y,并通過利用所述元素Y來計算由預(yù)定多變量多項式表示的映射 f(f :A —A)的原像的元素 X e {Z e A|f (Z) = Y}���; 元素選擇步驟����,該步驟以與所述原像的元素數(shù)α成正比的概率P����,選擇在所述元素計算步驟中所計算的所述原像的ー個元素X�����,并以概率(I-P)輸出異常值;以及 第二逆變換步驟�����,該步驟將在所述元素選擇步驟中所選擇的所述元素X看作所述有限環(huán)1^的元素X',并通過第二秘密多項式S的逆變換S—1�,將所述有限環(huán)Kn的元素X'變換成所述有限環(huán)Kn的元素X�����。
16.—種信息處理方法,包括 部分元素選擇步驟�����,該步驟選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素vx ;第一逆變換步驟,該步驟通過第一秘密多項式T的逆變換Γ1將包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素デ����; 元素計算步驟����,該步驟將在所述第一逆變換步驟中所獲得的有限環(huán)Km的元素デ看作有限環(huán)K的m次擴(kuò)展A的元素Y���,并通過利用所述元素Y和在所述部分元素選擇步驟中所選擇的所述元素vx來計算由預(yù)定多變量多項式表示的映射f (f =AXKv — B,B是所述有限環(huán)K的ο次擴(kuò)展)的原像的元素Xe {Z e B | f (Z,vx) = Y}��; 元素選擇步驟,該步驟以與所述原像的元素數(shù)α成正比的概率P�����,選擇所述元素計算步驟所計算的所述原像的ー個元素X���,并以概率(I-P)輸出異常值����;以及 第二逆變換步驟,該步驟將在所述元素選擇步驟中所選擇的所述元素X看作有限環(huán)κ°的元素οχ,并通過第二秘密多項式S的逆變換S—1將所述有限環(huán)Kn(η = ο+χ)的元素X’ =(ox, vx)變換成所述有限環(huán)Kn的元素X�����。
17.—種簽名生成方法,包括 部分元素選擇步驟���,該步驟選擇包括由V個數(shù)所組成的元素的有限環(huán)Kv的元素vx ���; 數(shù)生成步驟�����,該步驟生成數(shù)r; 數(shù)據(jù)生成步驟�,該步驟通過利用電子數(shù)據(jù)M和在所述數(shù)生成步驟中所生成的所述數(shù)r來生成包括由m個數(shù)所組成的元素的有限環(huán)Km的元素y ; 第一逆變換步驟��,該步驟通過第一秘密多項式T的逆變換Γ1,將在所述數(shù)據(jù)生成步驟中所生成的有限環(huán)Km的元素y變換成所述有限環(huán)Km的元素デ����; 元素計算步驟����,該步驟通過利用在所述第一逆變換步驟中所獲得的所述有限環(huán)Km的元素デ和在所述部分元素選擇步驟中所選擇的所述元素vx來計算由預(yù)定多變量多項式所表示的映射 f (f κη — Κ°, η = ο+ν)的元素 ox e {z e κ° I f(Z, vx) = y' }����;元素選擇步驟,如果存在所述原像的元素,則元素選擇步驟選擇在所述元素計算步驟中所計算的所述原像的所述元素ox�����,并且����,如果不存在所述原像的元素���,則該元素選擇步驟使所述數(shù)生成步驟生成不同的數(shù)r��,并且���,通過利用所述不同的數(shù)r,選擇通過所述數(shù)據(jù)生成步驟�����、所述第一逆變換步驟和所述元素計算步驟中的處理所計算的所述原像的元素ox ;第二逆變換步驟�,該步驟通過第二秘密多項式S的逆變換S—1����,將包括在所述元素選擇步驟中所選擇的所述元素OX的所述有限環(huán)Κη(η = ο+χ)的元素χ’ = (οχ,νχ)變換成所述有限環(huán)Kn的元素χ;以及 簽名生成步驟����,該步驟生成包括在所述第二逆變換步驟中所獲得的所述有限環(huán)Kn的元素X的電子簽名σ���。
18.—種程序��,該程序使得計算機(jī)執(zhí)行以下步驟 第一逆變換步驟,該步驟通過第一秘密多項式T的逆變換Γ1��,將包括由η個數(shù)所組成的元素的有限環(huán)Kn的元素y變換成所述有限環(huán)Kn的元素y'����; 元素計算步驟���,該步驟將所述第一逆變換步驟中所獲得的有限環(huán)Kn的元素y'看作有限環(huán)K的η次擴(kuò)展A的元素Y�,并通過利用所述元素Y來計算由預(yù)定多變量多項式所表示的映射f(f A — A)的原像的元素Xe {Z e A| f (Z) = Y}���; 元素選擇步驟�,該步驟以與所述原像的元素數(shù)α成正比的概率P���,選擇在所述元素計算步驟中所計算的所述原像的一個元素X���,并以概率(I-P)輸出異常值�;以及 第二逆變換步驟,該步驟將在所述元素選擇步驟中所選擇的所述元素X看作所述有限環(huán)1^的元素χ',并通過第二秘密多項式S的逆變換S—1�,將所述有限環(huán)Kn的元素χ'變換成所述有限環(huán)Kn的元素X�。
全文摘要
提供了用于實現(xiàn)能夠進(jìn)行關(guān)于選定消息攻擊的安全認(rèn)證的MPKC簽名方法的電子簽名系統(tǒng)。一種信息處理裝置�����,包括第一逆變換單元,該第一逆變換單元通過第一秘密多項式T的逆變換T-1將包括由n個數(shù)所組成的元素的有限環(huán)Kn的元素y變換成有限環(huán)Kn的元素y′;元素計算單元����,該元素計算單元將通過第一逆變換單元所獲得的有限環(huán)Kn的元素y′看作有限環(huán)K的n次擴(kuò)展A的元素Y,并且��,通過利用元素Y來計算由預(yù)定多變量多項式所表示的映射fA→A的原像的元素X∈{Z∈A|f(Z)=Y(jié)};元素選擇單元����,該元素選擇單元以與原像的元素數(shù)α成正比的概率p選擇原像的一個元素X,并且,以概率(1-p)輸出異常值;以及第二逆變換單元,該第二逆變換單元將此處所選擇的元素X看作有限環(huán)Kn的元素x′��,并且����,通過第二秘密多項式S的逆變換S-1將限環(huán)Kn的元素x′變換成限環(huán)Kn的元素x。
文檔編號H04L9/32GK102640451SQ201080051409
公開日2012年8月15日 申請日期2010年9月21日 優(yōu)先權(quán)日2009年11月19日
發(fā)明者作本纮一, 樋渡玄良, 白井太三 申請人:索尼公司