密码学学习 -- 签名算法

1 Elgamal 签名

1.1 公共参数

• $\alpha$ 是 $q$ 的原根。

1.2 Gen 过程

• 随机选择 $X_A\in \mathbb{Z}$， $1<X_A<q-1$。

• 计算 $Y_A={\alpha }^{X_A}\mathrm{mod}q$。

• 私钥 { X A } \{X_A\} {XA​}，公钥 { Y A } \{Y_A\} {YA​}。

1.3 Sign 过程

• $m=H(M)$， $0\le m\le q-1$。

• 随机选择 $K\in \mathbb{Z}$， $1\le K\le q-1$ 和 $gcd(K,q-1)=1$。

• 计算 $S_1={\alpha }^K\mathrm{mod}q$。

• 计算 $S_2=[K^{-1}(m-X_A{S}_1)]\mathrm{mod}(q-1)$。

• 输出签名 $(S_1,S_2)$。

1.4 Vrfy 过程

• 计算 $V_1={\alpha }^m\mathrm{mod}q$。

• 计算 $V_2=[(Y_A{)}^{S_1^{\prime }}(S_1^{\prime }{)}^{S_2^{\prime }}]\mathrm{mod}q$。

• 验证 $V_1\stackrel{\text{?}}{=}{V}_2$。

2 Schnorr 签名

2.1 公共参数

• 选择素数 $p$ 和 $q$ ， $p-1=0\mathrm{mod}q$。

• 选择 $\alpha \in \mathbb{Z}$， ${\alpha }^q=1\mathrm{mod}p$。

2.2 Gen 过程

• 随机选择 $s\in \mathbb{Z}$，$0<s<q$。

• 计算 $v={\alpha }^{-s}\mathrm{mod}p$。

• 私钥 { s } \{s\} {s}，公钥 { v } \{v\} {v}。

2.3 Sign 过程

• 随机选择 $r\in \mathbb{Z}$，$0<r<q$。

• 计算 $x={\alpha }^r\mathrm{mod}p$。

• 计算 $e=H(M\Vert x)$。

• 计算 $y=(r+se)\mathrm{mod}q$。

• 输出签名 $(e,y)$。

2.4 Vrfy 过程

• 计算 $x^{\prime }=({\alpha }^{y^{\prime }}{v}^{e^{\prime }})\mathrm{mod}p$。

• 验证 $e^{\prime }\stackrel{\text{?}}{=}H(M\Vert x^{\prime })$。

3 DSA 签名

3.1 公共参数

• 选择素数 $p$，$2^{L-1}<p<2^L$，$512\le L\le 1024$，$L=0\mathrm{mod}64$。

• 选择素数 $q$，$p-1=0\mathrm{mod}q$，$2^{N-1}<q<2^N$。

• 选择 $h\in \mathbb{Z}$，$h^{(p-1)/q}\mathrm{mod}p>1$，$1<h<p-1$

• 计算 $g=[h(p-1)/q]\mathrm{mod}p$。

3.2 Gen 过程

• 随机选择 $x\in \mathbb{Z}$，$0<x<q$。

• 计算 $y=g^x\mathrm{mod}p$。

• 私钥 { x } \{x\} {x}，公钥 { y } \{y\} {y}。

3.3 Sign 过程

• 随机选择 $k\in \mathbb{Z}$，$0<k<q$。

• 计算 $r=(g^k\mathrm{mod}p)\mathrm{mod}q$。

• 计算 $s=[k^{-1}(H(M)+xr)]\mathrm{mod}q$。

• 输出签名 $(r,s)$。

3.4 Vrfy 过程

• 计算 $w=(s^{\prime }{)}^{-1}\mathrm{mod}q$。

• 计算 $u_1=[H(M^{\prime })w]\mathrm{mod}q$。

• 计算 $u_2=(r^{\prime }w)\mathrm{mod}q$。

• 计算 $v=[(g^{u_1}{y}^{u_2})\mathrm{mod}p]\mathrm{mod}q$。

• 验证 $v\stackrel{\text{?}}{=}{r}^{\prime }$。

4 ECDSA 签名

4.1 公共参数

• 选择素数 $q$。

• 选择 $a\in Z_p$ 和 $b\in Z_p$，定义椭圆曲线 $y^2=(x^3+ax+b)\mathrm{mod}q$。

• 椭圆曲线的基点 $G=(x_g,y_g)$。

• 基点 $G$ 的阶为 $n$。

4.2 Gen 过程

• 随机选择 $d\in \mathbb{Z}$，$1\le d\le n-1$。

• 计算 $Q=dG$。

• 私钥 { d } \{d\} {d}，公钥 { Q } \{Q\} {Q}。

4.3 Sign 过程

• 随机选择 $k\in \mathbb{Z}$，$1\le k\le n-1$。

• 计算 $P=(x,y)=kG$ 和 $r=x\mathrm{mod}n$，如果 $r=0$ 则重新选择。

• 计算 $e=H(m)$。

• 计算 $s=[k^{-1}(e+dr)]\mathrm{mod}n$，如果 $s=O$ 则重新选择。

• 输出签名 $(r,s)$。

4.4 Vrfy 过程

• 检验 $r^{\prime }$ 和 $s^{\prime }$ 是否是 $[1,n-1]$ 中的整数。

• 计算 $e^{\prime }=H(m^{\prime })$。

• 计算 $w=s^{\prime -1}\mathrm{mod}n$。

• 计算 $u_1=e^{\prime }w$。

• 计算 $u_2=r^{\prime }w$。

• 计算 $X=(x_1,y_1)=u_{1}G+u_{2}Q$，如果 $X=O$ 则拒绝。

• 计算 $v=x_1\mathrm{mod}n$。

• 验证 $v\stackrel{\text{?}}{=}{r}^{\prime }$。

5 RSA 签名

5.1 Gen 过程

• 选择两个 $n$ 比特的素数 $p$ 和 $q$。

• 计算 $n=p\times q$。

• 计算 $\varphi (n)=(p-1)\times (q-1)$。

• 随机选择 $e\in \mathbb{Z}$，$0<e<\varphi (n)$，$gcd(e,\varphi (n))=1$。

• 计算 $d=e^{-1}\mathrm{mod}\varphi (n)$。

• 私钥 { p , q , d } \{p, q, d\} {p,q,d}，公钥 { n , e } \{n, e\} {n,e}。

5.2 Sign 过程

• 计算 $\sigma =m^d\mathrm{mod}n$。

• 输出签名 $\sigma$。

5.3 Vrfy 过程

• 计算 $m^{\prime \prime }={\sigma }^{\prime e}\mathrm{mod}n$。

• 验证 $m^{\prime }\stackrel{\text{?}}{=}{m}^{\prime \prime }$。

6 SM2 签名

6.1 公共参数

• 椭圆曲线 $E(F_q)$ 的规模 $q$ 和两个元素 $a,b\in F_q$。

• 椭圆曲线的基点 $G=(x_G,y_G)$。

• 基点 $G$ 的阶。

6.2 Gen 过程

• 随机选择 $d_A\in \mathbb{Z}$，$1\le d_A\le n-1$。

• 计算 $P_A=[d_A]G=(x_A,y_A)$。

• 私钥 { d A } \{d_A\} {dA​}，公钥 { P A } \{P_A\} {PA​}。

6.3 Sign 过程

• 计算 $Z_A=H(ENT{L}_A\Vert I{D}_A\Vert a\Vert b\Vert x_G\Vert y_G\Vert x_A\Vert y_A)$。

• 计算 $\overline{M}=Z_A\Vert M$。

• 计算 $e=H(\overline{M})$。

• 随机选择 $k\in \mathbb{Z}$，$1\le k\le n-1$.

• 计算 $(x_1,y_1)=[k]G$。

• 计算 $r=(e+x_1)\mathrm{mod}n$，若 $r=0$ 或 $r+k=n$ 则重新选择。

• 计算 $s=[(1+d_A{)}^{-1}\times (k-r{d}_A)]\mathrm{mod}n$，若 $s=0$ 则重新选择。

• 输出签名 $(r,s)$。

6.4 Vrfy 过程

• 检验 $r^{\prime }$ 和 $s^{\prime }$ 是否是 $[1,n-1]$ 中的整数。

• 计算 ${\overline{M}}^{\prime }=Z_A\Vert M^{\prime }$。

• 计算 $e^{\prime }=H({\overline{M}}^{\prime })$。

• 计算 $t=r^{\prime }+s^{\prime }$，若 $t=0$ 则不通过。

• 计算 $(x_1^{\prime }+y_1^{\prime })=[s^{\prime }]G+[t^{\prime }]P_A$。

• 计算 $R=(e^{\prime }+x_1^{\prime })\mathrm{mod}n$。

• 验证 $R\stackrel{\text{?}}{=}{r}^{\prime }$。

7 BLS 签名

7.0 预备知识

• 双线性映射：对于阶数均为素数 $p$ 的加性群 $G_1$ 和 $G_2$，乘性群 $G_T$ ，$G_1$ 的生成元为 $P$，$G_2$ 的生成元为 $Q$。双线性映射 $e:G_1\times G_2\to G_T$ 满足以下性质：

  • 双线性性：$\forall a,b\in \mathbb{Z}:e(aP,bQ)=e(P,Q{)}^{ab}$；

  • 非退化性：$e(P,Q)\ne 1$；

  • 出于应用目的，$e$ 的计算应是可高效计算的。

  特别地，当 $G_1=G_2=G$ 时，称 $e$ 是对称的；当 $G$ 是循环群时，$e$ 是可交换的，即 $e(P,Q)=e(g^p,g^q)=e(g,g{)}^{pq}=e(g^q,g^p)=e(Q,P)$。

• Computational Diffie-Hellman Problem, CDHP：对于 $G$，给定 $g^a,g^b\in G$，计算 $g^{ab}$ 是困难的。

• Decisional Diffie-Hellman Problem, DDHP：对于 $G$，以下两个三元组的概率分布是计算不可区分的：

  • $(g^a,g^b,g^{ab})$，其中 $a,b$ 是从 ${\mathbb{Z}}_q$ 中独立且随机抽取的；

  • $(g^a,g^b,g^c)$，其中 $a,b,c$ 是从 ${\mathbb{Z}}_q$ 中独立且随机抽取的。

• Computational co-Diffie-Hellman, co-CDH：对于 $(G_1,G_2)$，给定 $g_2,g_2^a\in G_2$ 和 $h\in G_1$，计算 $h^a\in G_1$ 是困难的。

• Decisional co-Diffie-Hellman, co-DDH：对于 $(G_1,G_2)$，给定 $g_2,g_2^a\in G_2$ 和 $h,h^b\in G_1$，判断 $a\stackrel{\text{?}}{=}b$。如果 $a=b$，则称 $(g_2,g_2^a,h,h^a)$ 是 co-DDH 元组。

7.1 公共参数

• Gap co-Diffie-Human group pair $(G_1,G_2)$，$\Vert G_1\Vert =\Vert G_2\Vert =p$，co-CDH 计算困难，co-DDH 计算简单。

7.2 Gen 过程

• 随机选择 $x\in {\mathbb{Z}}_p$。

• 计算 $v=g_2^x\in G_2$。

• 私钥 { x } \{x\} {x}，公钥 { v } \{v\} {v}。

7.3 Sign 过程

• 计算 $h=H(M)\in G_1$。

• 计算 $\sigma =h^x\in G_1$。

• 输出签名 $\sigma$。

7.4 Vrfy 过程

• 验证 $(g_2,v,h,\sigma )$ 是否为 co-DDH 元组。