驗證實體真實性和/或消息的完整性和/或真實性的方法,系統,設備

驗證實體真實性和/或消息的 完整性和/或真實性的方法，系統，設備

本發明涉及驗證實體真實性和/或消息的完整性和/或真實性的方法， 系統，和設備。

發明人為Louis Guillou和JeanJacques Quisquater的專利EP 0 311 470 B1描述了這種方法。此后將通過術語＂GQ專利＂或＂GQ方法＂表示他 們的專利成果。此后術語＂GQ2＂，或＂GQ2發明＂或＂GQ2技術＂將被用來 描述本發明。

根據GQ方法，一個被稱為＂委托機構＂的實體為各個被稱為＂見證＂的 實體分配一個身份并且計算其RSA簽名。在定制過程中，委托機構為見 證指定一個身份和簽名。其后，見證聲明：＂這是我的身份；我知道該身 份的RSA簽名＂。見證在不出示這個簽名的情況下證明他知道其身份的 RSA簽名。通過委托機構分配的RSA公開鑒別密鑰，一個被稱為＂審查 人＂的實體在沒有獲得有關知識的情況下確定RSA簽名對應于所聲明的 身份。使用GQ方法的機制在＂不傳送有關知識＂的情況下運行。根據GQ 方法，見證不知道委托機構為大量身份簽署的RSA私有密鑰。

GQ方法實現了包括512位或更多位數的數值取模計算。這些計算涉 及具有基本相同的長度、高到以2¹⁶+1為指數的冪的數值。目前，尤其是 在銀行卡領域中，現有的微電子基礎設施均使用沒有算術協處理器的可 自編程單片微處理器。涉及諸如GQ方法地方法中產生的多個算術應用 的工作負載所需要的計算時間在某些情況下為使用銀行卡支付其購買的 客戶帶來不便。回顧以往，當試圖增加支付卡的安全性時，銀行機構提 出了一個特別難以解決的問題。實際上，必須解決兩個明顯矛盾的問題： 一方面，通過使用更加冗長和獨特的密鑰增加安全性，另一方面，防止 工作負載為用戶帶來過長的計算時間。由于還有必要考慮到現有基礎設 施和現有微處理器部件，這個問題變得尤其尖銳。

這里描述的GQ技術利用了RSA技術。然而雖然RSA技術確實依 賴模數n的因數分解，但正如在針對實現RSA技術的各種數字簽名標準 的所謂＂乘法攻擊＂中可以看到的，這種依賴并不是等價，并且實際上差 別很大。

GQ2技術有雙重目標：首先是改進RSA技術的性能特性，其次是避 免RSA技術的固有問題。有關GQ2私有密鑰的知識相當于有關模數n的 因數分解的知識。任何對三元組GQ2的攻擊均導致對模數n的因數分 解：此時存在等價關系。使用GQ2技術減少了簽名或自認證實體以及審 查人實體的工作負載。通過在安全和性能方面對因數分解問題的良好使 用，GQ2技術避免了RSA技術的缺點。

方法

適用于GQ系列的中國余數方法

更具體地，本發明涉及一個為審查人實體驗證下列內容的方法，

-一個實體的真實性和/或

-與這個實體相關的消息M的完整性，

通過所有或部分下列參數或這些參數的派生參數完成這個證明：

-m對保密數值Q₁，Q₂，...，Q_m和公開數值G₁，G₂，...，G_m(m大于或等于 1)，

-由f個素數p₁，p₂，...，p_f(f大于或等于2)的乘積構成的一個公開模數n，

-一個公開指數v。

上述模數，上述指數和上述數值有以下類型的關系

G_i·Q_i^v≡1 mod n或G_i≡Q_i^v mod n。

上述方法在下面定義的步驟中實現了被稱作見證的實體。上述見證 實體具有f個素數p_i和/或素數的中國余數的參數和/或公開模數n和/或m 個保密數值Q_i和/或保密數值Q_i與公開指數v的f.m分量Q_i，j(Q_i，j≡Q_i mod p_j)。

見證計算以n為模數的整數環中的承諾(commitment)R。通過執行以 下類型的操作計算各個承諾：

R_i≡r_i^v mod p_i

其中r_i是一個與素數p_i相關的隨機數值，其中0＜r_i＜p_i，各個r_i 屬于一個隨機數值集合{r₁，r₂，...，r_f}，并且接著使用中國余數方法。

因而與已經進行的模n運算相比，計算各個p₁數值的各個承諾R_i所執 行的模p₁算術運算數量被減少了。

見證接收一或多個詢問(challenge)d。  每個詢問d包括m個被稱作基 本詢問的整數d_i。根據各個詢問d，見證通過執行以下類型的運算計算一 個應答D：

D_i≡r_i·Q_i，1^d1·Q_i，2^d2·...·Q_i，m^dm mod p_i

并且接著使用中國余數方法。

因而與已經進行的模n運算相比，計算各個p₁數值的各個承諾D_i所執 行的模p₁算術運算數量被減少了。

該方法使得應答D的數量與詢問d和承諾R一樣多，其中每組數值 R，d，D構成一個被表示成{R，d，D}的三元組。

證明一個實體的真實性的實例

在一個第一可選實施例中，基于本發明的方法被用來驗證一個實體 的真實性，對于一個被稱為審查人的實體而言，上述被驗證實體被稱為 證明人。上述證明人實體包括見證。上述證明人和審查人實體執行下列 步驟：

步驟1：涉及承諾R的操作

每次見證使用上述過程計算各個承諾R。證明人向審查人發送所有或 部分承諾R。

步驟2：涉及詢問d的操作

在接收所有或部分承諾R之后，審查人產生數量等于承諾R的數量的 詢問d并且向證明人發送詢問d。

步驟3：涉及應答D的操作

見證使用上述過程根據詢問d計算應答D。

步驟4：涉及檢查的操作

證明人向審查人發送各個應答D。

第一種情況：證明人已經發送一部分承諾R

如果證明人已經發送一部分承諾R，則審查人在具有m個公開數值 G₁，G₂，...，G_m的情況下根據各個詢問d和各個應答D計算一個重構承諾R′， 這個重構承諾R′滿足以下類型的關系

R’≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系

R’≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

審查人確定各個重構的承諾R′還原出已經發送過來的所有或部分承 諾R。

第二種情況：證明人已經全部發送承諾R

如果證明人已經發送全部承諾R，則審查人在具有m個公開數值 G₁，G₂，...，G_m的情況下確定各個承諾R滿足以下類型的關系

R≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系

R≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

證明消息的完整性的實例

在一個能夠與第一可選實施例配合使用的第二可選實施例中，本發 明的方法被用來為被稱為審查人實體的實體證明與被稱為證明人實體的 實體相關的消息M的完整性。上述證明人實體包括見證。上述證明人和 審查人實體執行下列步驟：

步驟1：涉及承諾R的操作

每次見證使用上述過程計算各個承諾R。

步驟2：涉及詢問d的操作

證明人使用一個散列函數h計算至少一個令牌T，其中散列函數的參 數包括消息M和所有或部分承諾R。證明人向審查人發送令牌T。在接收 令牌T之后，審查人產生數量等于承諾R的數量的詢問d并且向證明人發 送詢問d。

步驟3：涉及應答D的操作

見證使用上述過程根據詢問d計算應答D。

步驟4：涉及檢查的操作

證明人向審查人發送各個應答D。審查人在具有m個公開數值 G₁，G₂，...，G_m的情況下根據各個詢問d和各個應答D計算一個重構承諾R′， 這個重構承諾R′滿足以下類型的關系

R’≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系

R’≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

接著審查人使用一個散列函數h重構令牌T′，其中散列函數的參數包 括消息M和所有或部分重構承諾R′。接著審查人確定令牌T′與發送的令牌 T相同。

消息的數字簽名及其真實性證明

簽名運算

在一個能夠與任意數量的其它實施例配合使用的第三可選實施例 中，基于本發明的方法被用來通過一個被稱為簽名實體的實體產生消息 M的數字簽名。上述簽名實體包含見證。

上述簽名實體執行簽名運算以便獲得包括以下內容的已簽名消息：

-消息M，

-詢問d和/或承諾R，

-應答D。

上述簽名實體通過實現下列步驟執行簽名運算：

步驟1：涉及承諾R的操作

每次見證使用上述過程計算各個承諾R。

步驟2：涉及詢問d的操作

簽名實體使用一個散列函數h獲得一個二進制序列，上述散列函數的 參數包括消息M和各個承諾R。簽名實體從這個二進制序列中提取其數量 等于承諾R的數量的詢問d。

步驟3：涉及應答D的操作

見證使用上述過程根據詢問d計算應答D。

檢查運算

為了驗證消息M的真實性，一個被稱作審查人的實體檢查已簽名消 息。具有已簽名消息的上述審查人實體通過執行如下步驟來完成檢查運 算。

在審查人具有承諾R，詢問d，應答D的情況下

如果審查人具有承諾R，詢問d，應答D，則審查人確定承諾R，詢問 d和應答D滿足以下類型的關系

R≡G₁^d1·G₂^d2·...·G_m^dm·D^vmod n

或以下類型的關系：

R≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

接著審查人確定消息M，詢問d和承諾R滿足散列函數：

d＝h(M，R)

在審查人具有詢問d和應答D的情況下

如果審查人具有詢問d和應答D，審查人根據各個詢問d和各個應答D 重構滿足以下類型的關系的承諾R′

R’≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系：

R’≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

接著審查人確定消息M和詢問d滿足散列函數：

d＝h(M，R′)

在審查人具有承諾R和應答D的情況下

如果審查人具有承諾R和應答D，則審查人使用散列函數并且重構d′

d′＝h(M，R)

接著審查人設備確定承諾R，詢問d′和應答D滿足以下類型的關系

R≡G₁^d’1·G₂^d’2·...·G_m^d’m·D^v mod n

或以下類型的關系：

R≡D^v/G₁^d’1·G₂^d’2·...·G_m^d’m mod n

在首先選擇保密數值Q并且根據保密數值Q推斷公開數值G的情況下

在某些情況下，尤其是為了利于得到保密數值Q和公開數值G的乘 積，首先選擇保密數值Q并且根據保密數值Q推斷出公開數值G。更具體 地，在這種情況下基于本發明的方法使得保密數值Q_i的分量Q_i，1，Q_i，2，...，Q_i，f 是以每個上述素數pj一個分量Q_i，j(Q_i，j≡Q_i mod p_j)的比率隨機抽取的數 值。利用中國余數方法可以根據上述分量Q_i，1，Q_i，2，...，Q_i，f計算上述保密數值 Q_i。通過執行下列類型的運算計算上述公開數值G_i：

G_i，j≡Q_i，j^v mod p_j

接著使用中國余數方法建立G_i，使得

G_i·Q_i^v≡1 mod n或G_i≡Q_i^v mod n

因而與已經進行的模n運算相比，計算各個p_j數值的各個承諾G_i，j所 執行的模p₁算術運算數量被減少了。

有利的是，在這種情況下基于本發明的方法使得驗證的公開指數v是 一個素數。這表明安全性相當于有關保密數值Qi的知識。

在首先選擇公開數值G并且根據公開數值G推斷保密數值Q的情況下

在這種情況下，上述指數v最好是

v＝2^k

其中k是大于1的安全參數。

上述公開數值G_i是小于f個素數p₁，p₂，...，p_f的基數g_i的平方g_i²；基數g_i 使得下面兩個等式：

x²≡g_i mod n和x²≡-g_i mod n

不能被以n為模的整數環中的x求解，并且使得等式：

x^v≡g_i² mod n

不能被以n為模的整數環中的x求解。

系統

本發明還涉及被用來向審查人服務器驗證下列內容的系統：

-一個實體的真實性和/或

-與這個實體相關的消息M的完整性，

通過所有或部分下列參數或這些參數的派生參數完成這個證明：

-m對保密數值Q₁，Q₂，...，Q_m和公開數值G₁，G₂，...，G_m(m大于或等于 1)，

-由上述f個素數p₁，p₂，...，p_f(f大于或等于2)的乘積構成的一個公開模數 n，

-一個公開指數v。

上述模數，上述指數和上述數值有以下類型的關系

G_i·Q_i^v≡1 mod n或G_i≡Q_i^v mod n

上述系統包括一個見證設備，尤其是被包含在諸如基于微處理器的 銀行卡形式的漫游對象中的設備。見證設備包括一個存儲器區段，上述 存儲器區段包含f個素數p_i和/或素數的中國余數的參數和/或公開模數n和 /或m個保密數值Q_i和/或保密數值Q_i與公開指數v的f.m分量Qi，j(Q_i，j≡Q_i mod p_i)。見證設備還包括：

-隨機數值產品裝置，此后被稱作見證設備的隨機數值產生裝置，

-計算裝置，此后被稱作見證設備計算承諾R的裝置，上述計算裝置 計算以n為模的整數環中的承諾R。通過執行以下類型的操作計算各個契 約：

R_i≡r_i^v mod p_i

其中r_i是一個與素數p_i相關的隨機數值，其中0＜r_i＜p_i，各個r_i屬于 一個由隨機數產生裝置產生的隨機數值集合{r₁，r₂，...，r_f}，并且接著使用 中國余數方法。

因而與已經進行的模n運算相比，計算各個p₁數值的各個承諾R_i所執 行的模p₁算術運算數量被減少了。

見證設備還包括：

-接收裝置，此后被稱作見證設備接收詢問的裝置，上述接收裝置接收 一或多個詢問d；每個詢問d包括m個此后被稱作基本詢問的整數d_i。

-計算裝置，此后被稱作見證設備計算應答D的裝置，上述計算根據 各個詢問d計算以下類型的應答D：

D_i≡r_i·Q_i，1^d1·Q_i，2^d2·...·Q_i，m^dm mod p_i

并且接著使用中國余數方法。

因而與已經進行的模n運算相比，計算各個p₁數值的各個承諾D_i所執 行的模p₁算術運算數量被減少了。

見證設備還包括發送一或多個承諾R和一或多個應答D的發送裝置。 應答D的數量與詢問d和承諾R一樣多，其中每組數值R，d，D構成一個被表 示成{R，d，D}的三元組。

證明一個實體的真實性的實例

在一個第一可選實施例中，基于本發明的系統被用來驗證一個實體 的真實性，對于一個被稱為審查人的實體而言，上述被驗證實體被稱為 證明人。

上述系統包括一個與證明人實體相關的證明人設備。上述證明人設 備通過互連裝置與見證設備互連。尤其可以采取漫游對象中的邏輯微電 路的形式，例如基于微處理器的銀行卡中的微處理器的形式。

上述系統還包括一個與審查人實體相關的審查人設備。上述審查人 設備尤其可以采取終端或遠程服務器的形式。上述審查人設備包括連接 裝置以便通過電子，電磁，光學或聲學方式，尤其是通過數據處理通信 網絡連接到證明人設備。

上述系統被用來執行下列步驟：

步驟1：涉及承諾R的操作

每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。見 證設備具有通過互連裝置向證明人設備發送所有或部分承諾R的發送裝 置，此后被稱作見證設備的發送裝置。證明人設備還具有通過連接裝置 向審查人設備發送所有或部分承諾R的發送裝置，此后被稱作證明人的發 送裝置。

步驟2：涉及詢問d的操作

審查人設備包括詢問產生裝置，該裝置在接收所有或部分承諾R之后 產生數量等于承諾R的數量的詢問d。審查人設備還具有通過連接裝置向 證明人發送所有或部分詢問d的發送裝置，此后被稱為審查人的發送裝 置。

步驟3：涉及應答D的操作

見證設備接收詢問的裝置通過互連裝置接收來自證明人設備的各個 詢問d。見證設備計算應答D的裝置使用上述過程根據詢問d計算應答D。

步驟4：涉及檢查的操作

證明人的發送裝置向審查人發送各個應答D。審查人設備還包括：

-計算裝置，此后被稱作審查人設備的計算裝置，

-比較裝置，此后被稱作審查人設備的比較裝置，

第一種情況：證明人已經發送一部分承諾R

如果證明人的發送裝置已經發送一部分承諾R，則審查人的計算裝置 在具有m個公開數值G₁，G₂，...，G_m的情況下根據各個詢問d和各個應答D計 算一個重構承諾R′，這個重構承諾R′滿足以下類型的關系

R’≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系

R’≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

審查人設備的比較裝置將各個重構承諾R′與接收的所有或部分承諾R 進行比較。

在證明人已經全部發送承諾R的情況下

如果證明人的發送裝置已經發送全部承諾R，則審查人設備的計算裝 置和比較裝置在具有m個公開數值G₁，G₂，...，G_m的情況下確定各個承諾R滿 足以下類型的關系

R≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系

R≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

證明消息的完整性的實例

在一個能夠與第一可選實施例配合使用的第二可選實施例中，基于 本發明的系統被用來向一個被稱為審查人的實體證明與一個被稱為證明 人的實體相關的消息M的完整性。上述系統包括與證明人實體相關的證 明人設備。上述證明人設備通過互連裝置與見證設備互連。尤其可以采 取漫游對象中的邏輯微電路的形式，例如基于微處理器的銀行卡中的微 處理器的形式。上述系統還包括一個與審查人實體相關的審查人設備。 上述審查人設備尤其可以采取終端或遠程服務器的形式。上述審查人設 備包括連接裝置以便通過電子，電磁，光學或聲學方式，尤其是通過數 據處理通信網絡連接到證明人設備。

上述系統被用來執行下列步驟：

步驟1：涉及承諾R的操作

每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。見 證設備具有通過互連裝置向證明人設備發送所有或部分承諾R的發送裝 置，此后被稱作見證設備的發送裝置。

步驟2：涉及詢問d的操作

證明人設備包括計算裝置，此后被稱作證明人的計算裝置，計算裝 置使用一個散列函數h計算至少一個令牌T，其中散列函數的參數包括消 息M和所有或部分承諾R。證明人設備還具有通過連接裝置向審查人設 備發送各個令牌T的發送裝置，此后被稱為證明人設備的發送裝置。審查 人設備還具有詢問產生裝置，該裝置在接收令牌T之后產生數量等于承諾 R的數量的詢問d。審查人設備還具有通過連接裝置向證明人發送所有或 部分詢問d的發送裝置，此后被稱作審查人的發送裝置。

步驟3：涉及應答D的操作

見證設備接收詢問的裝置通過互連裝置接收來自證明人設備的各個 詢問d。見證設備計算應答D的裝置使用上述過程根據詢問d計算應答D。

步驟4：涉及檢查的操作

證明人的發送裝置向審查人發送各個應答D。審查人設備還包括計算 裝置，此后被稱作審查人設備的計算裝置，上述計算裝置在具有m個公開 數值G₁，G₂，...，G_m的情況下根據各個詢問d和各個應答D計算計算一個重構 承諾R′，這個重構承諾R′滿足以下類型的關系

R’≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系

R’≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

接著使用一個散列函數h計算一個令牌T′，其中散列函數的參數包括 消息M和所有或部分重構承諾R′。

審查人設備還具有將計算的令牌T′與接收的令牌T相比較的比較裝 置，此后被稱為審查人設備的比較裝置。

消息的數字簽名及其真實性證明

簽名運算

在一個能夠與任意數量的前兩個實施例配合使用的第三可選實施例 中，基于本發明的系統被用來通過一個被稱為簽名實體的實體驗證消息 M的數字簽名，該消息此后被稱為已簽名消息。

已簽名消息包括：

-消息M，

-詢問d和/或承諾R，

-應答D。

上述系統包括與簽名實體相關的簽名設備。上述簽名設備通過互連 裝置與見證設備互連，并且尤其可以具有漫游對象中邏輯微電路的形式， 例如基于微處理器的銀行卡中微處理器的形式。

上述系統被用來執行下列步驟：

步驟1：涉及承諾R的操作

每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。

見證設備具有通過互連裝置向簽名設備發送所有或部分承諾R的發送 裝置，此后被稱作見證設備的發送裝置。

步驟2：涉及詢問d的操作

簽名設備包括計算裝置，此后被稱作簽名設備的計算裝置，上述計 算裝置使用一個散列函數h計算一個二進制序列并且從這個二進制序列中 提取出數量等于承諾R的數量的詢問d，其中散列函數的參數包括消息M 和所有或部分承諾R。

步驟3：涉及應答D的操作

見證設備接收詢問d的裝置通過互連裝置接收來自簽名設備的各個詢 問d。見證設備計算應答D的裝置使用上述過程根據詢問d計算應答D。見 證設備包括通過互連裝置向簽名設備發送應答D的發送裝置，此后被稱作 見證設備的發送裝置。

檢查運算

為了驗證消息M的真實性，一個被稱作審查人的實體檢查已簽名消 息。

系統包括一個與審查人實體相關的審查人設備。上述審查人設備尤 其可以采取終端或遠程服務器的形式。上述審查人設備包括連接裝置以 便通過電子，電磁，光學或聲學方式，尤其是通過數據處理通信網絡連 接到證明人設備。

上述與簽名實體相關的簽名設備包括通過連接裝置向審查人設備發 送已簽名消息的發送裝置，此后被稱為簽名設備的發送裝置。因而審查 人設備具有一個包括以下內容的已簽名消息：

-消息M，

-詢問d和/或承諾R，

-應答D。

審查人設備包括：

-計算裝置，此后被稱作審查人設備的計算裝置，

-比較裝置，此后被稱作審查人設備的比較裝置，

在審查人設備具有承諾R，詢問d，應答D的情況下

如果審查人設備具有承諾R，詢問d，應答D，則審查人設備的計算 和比較裝置確定承諾R，詢問d和應答D滿足以下類型的關系

R≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系：

R≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

接著審查人設備的計算和比較裝置確定消息M，詢問d和承諾R滿足 散列函數：

d＝h(M，R)

在審查人設備具有詢問d和應答D的情況下

如果審查人具有詢問d和應答D，審查人根據各個詢問d和各個應答D 重構滿足以下類型的關系的承諾R′

R’≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系：

R’≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

接著審查人設備的計算和比較裝置確定消息M和詢問d滿足散列函 數：

d＝h(M，R′)

在審查人具有詢問d和應答D的情況下

如果審查人設備具有詢問d和應答D，則審查人設備的計算裝置使用 散列函數并且以下面方式計算出d′：

d′＝h(M，R)

接著審查人設備的計算和比較裝置確定消息M，詢問d′和承諾R滿足 以下關系：

R≡G₁^d’1·G₂^d’2·...·G_m^d’m·D^v mod n

或以下類型的關系：

R≡D^v/G₁^d’1·G₂^d’2·...·G_m^d’m mod n

在首先選擇保密數值Q并且根據保密數值Q推斷公開數值G的情況下

在某些情況下，尤其是為了利于得到保密數值Q和公開數值G的乘 積，首先選擇保密數值Q并且根據保密數值Q推斷出公開數值G。更具體 地，在這種情況下基于本發明的方法使得保密數值Qi的分量Q_i，1，Q_i，2，...，Q_i，f 是以每個上述素數p_j一個分量Q_i，j(Q_i，j≡Q_i mod p_j)的比率隨機抽取的數 值。利用中國余數方法可以根據上述分量Q_i，1，Q_i，2，...，Q_i，f計算上述保密數 值Q_i。通過執行下列類型的運算計算上述公開數值G_i：

G_i，i≡Q_i，j^v mod p_j

接著使用中國余數方法建立Gⁱ，使得

G_i·Q_i^v≡1 mod n或G_i≡Q_i^v mod n

因而與已經進行的模n運算相比，計算各個p_j數值的各個承諾G_i，j所 執行的模p₁算術運算數量被減少了。

有利的是，在這種情況下基于本發明的方法使得驗證的公開指數v是 一個素數。這表明安全性相當于有關保密數值Q_i的知識。

在首先選擇公開數值G并且根據公開數值G推斷保密數值Q的情況下

在這種情況下，上述指數v最好是

v＝2^k

其中k是大于1的安全參數。上述公開數值Gi是小于f個素數p₁，p₂，...，p_f 的基數g_i的平方g_i²?；鶖礸_i滿足下面兩個等式：

x²≡g_i mod n和x²≡-g_i mod n

不能被以n為模的整數環中的x求解，并且使得等式：

x^v≡g_i² mod n

不能被以n為模的整數環中的x求解。

    終端設備

適用于GQ系列的中國余數方法

本發明還涉及與一個實體相關的終端設備。終端設備尤其可以采取 漫游對象的形式，例如基于微處理器的銀行卡中的微處理器的形式。終 端設備被用來為審查人服務器驗證下列內容：

-一個實體的真實性和/或

-與這個實體相關的消息M的完整性。

通過所有或部分下列參數或這些參數的派生參數完成這個證明：

-m對保密數值Q₁，Q₂，...，Q_m和公開數值G₁，G₂，...，G_m(m大于或等于 1)，

-由上述f個素數p₁，p₂，...，p_f(f大于或等于2)的乘積構成的一個公開模數 n，

-一個公開指數v。

上述模數，上述指數和上述數值有以下類型的關系

G_i·Q_i^v≡1 mod n或G_i≡Q_i^v mod n

上述終端設備包括一個見證設備，上述見證設備包括一個存儲器區 段，上述存儲器區段包含f個素數P_i和/或素數的中國余數的參數和/或公 開模數n和/或m個保密數值Q_i和/或保密數值Q_i與公開指數v的f.m分量 Q_i，j(Q_i，j≡Q_i mod p_j)。見證設備還包括：

-隨機數值產品裝置，此后被稱作見證設備的隨機數值產生裝置，

-計算裝置，此后被稱作見證設備計算承諾R的裝置。

計算裝置計算以n為模數的整數環中的承諾R。通過執行以下類型的 操作計算各個承諾：

R_i≡r_i^v mod p_i

其中r_i是一個與素數p_i相關的隨機數值，其中0＜r_i＜p_i，各個r_i屬 于一個由隨機數值產生裝置產生的隨機數值集合{r₁，r₂，...，r_f}，并且接著 使用中國余數方法。

見證設備還包括：

-接收裝置，此后被稱作見證設備接收詢問的裝置，上述接收裝置接收 一或多個詢問d_i；每個詢問d_i包括m個此后被稱作基本詢問的整數d_i。

-計算裝置，此后被稱作見證設備計算應答D的裝置，上述計算根據 各個詢問d并且通過執行以下類型的根據來計算各個應答D：

D_i≡r_i·Q_i，1^d1·Q_i，2^d2·...·Q_i，m^dm mod p_i

并且接著使用中國余數方法。

因而與已經進行的模n運算相比，計算各個p₁數值的各個契約R_i所執 行的模p₁算術運算數量被減少了。

上述見證設備還包括發送一或多個承諾R和一或多個應答D的發送裝 置。應答D的數量與詢問d和承諾R一樣多。每給數值R，d，D均構成一 個被表示成{R，d，D}的三元組。

證明一個實體的真實性的實例

在一個第一可選實施例中，基于本發明的終端設備被用來驗證一個 實體的真實性，對于一個被稱為審計人的實體而言，上述被驗證實體被 稱為證明人。

上述終端設備包括與證明人實體相關的證明人設備。上述證明人設 備通過互連裝置與見證設備互連。尤其可以采取漫游對象中的邏輯微電 路的形式，例如基于微處理器的銀行卡中的微處理器的形式。

上述證明人設備還包括連接裝置以便通過電子，電磁，光學或聲學 方式，尤其是通過數據處理通信網絡連接到與審查人實體相關的審查人 設備。上述審查人設備尤其可以采取終端或遠程服務器的形式。

上述終端設備被用來執行下列步驟：

步驟1：涉及承諾R的操作

每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。

見證設備具有通過互連裝置向證明人設備發送所有或部分承諾R的發 送裝置，此后被稱作見證設備的發送裝置。證明人設備還具有通過連接 裝置向審查人設備發送所有或部分承諾R的發送裝置，此后被稱作證明人 的發送裝置。

步驟2和3：涉及詢問d的操作，涉及應答D的操作

見證設備接收詢問d的裝置通過審查人設備和證明人設備之間的連接 裝置和證明人設備與見證設備之間的互連裝置接收來自審查人設備的各 個詢問d。見證設備計算應答D的裝置使用上述過程根據詢問d計算應答 D。

步驟4：涉及檢查的操作

證明人的發送裝置向埋詢問的審查人發送各個應答D。

證明消息的完整性的實例

在一個能夠與其它可選實施例配合使用的第二可選實施例中，基于 本發明的終端設備被用來向一個被稱為審查人的實體證明與一個被稱為 證明人的實體相關的消息M的完整性。上述終端設備包括與證明人實體 相關的證明人設備。上述證明人設備通過互連裝置與見證設備互連。尤 其可以采取漫游對象中的邏輯微電路的形式，例如基于微處理器的銀行 卡中的微處理器的形式。上述證明人設備包括連接裝置以便通過電子， 電磁，光學或聲學方式，尤其是通過數據處理通信網絡連接到與審查人 實體相關的審查人設備。上述審查人設備尤其可以采取終端或遠程服務 器的形式。

上述終端設備被用來執行下列步驟：

步驟1：涉及承諾R的操作

每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。見 證設備具有通過互連裝置向證明人設備發送所有或部分承諾R的發送裝 置，此后被稱作見證設備的發送裝置。

步驟2和3：涉及詢問d的操作，涉及應答的操作

證明人設備包括計算裝置，此后被稱作證明人的計算裝置，計算裝 置使用一個散列函數h計算至少一個令牌T，其中散列函數的參數包括消 息M和所有或部分承諾R。證明人設備還具有通過連接裝置向審查人設 備發送各個令牌T的發送裝置，此后被稱為證明人設備的發送裝置。

上述審查人在接收令牌T之后產生數量等于承諾R的數量的詢問d。

見證設備接收詢問的裝置通過證明人設備和見證設備之間的互連裝 置接收來自證明人設備的各個詢問d。見證設備計算應答D的裝置使用上 述過程根據詢問d計算應答D。

步驟4：涉及檢查的操作

證明人的發送裝置向進行檢查的審查人發送各個應答D。

消息的數字簽名及其真實性證明

簽名運算

在一個能夠與其它實施例配合使用的第三可選實施例中，基于本發 明的終端設備被用來通過一個被稱為簽名實體的實體產生消息M的數字 簽名，該消息此后被稱為已簽名消息。

已簽名消息包括：

-消息M，

-詢問d和/或承諾R，

-應答D。

上述終端設備包括與簽名實體相關的簽名設備。上述簽名設備通過 互連裝置與見證設備互連。尤其可以采取漫游對象中的邏輯微電路的形 式，例如基于微處理器的銀行卡中的微處理器的形式。上述簽名設備包 括連接裝置以便通過電子，電磁，光學或聲學方式，尤其是通過數據處 理通信網絡連接到與審查人實體相關的審查人設備。上述審查人設備尤 其可以采取終端或遠程服務器的形式。

上述終端設備被用來執行下列步驟：

步驟1：涉及承諾R的操作

每次見證設備的計算承諾R的裝置使用上述過程計算各個承諾R。見 證設備具有通過互連裝置向簽名設備發送所有或部分承諾R的發送裝置， 此后被稱作見證設備的發送裝置。

步驟2：涉及詢問d的操作

簽名設備包括計算裝置，此后被稱作簽名設備的計算裝置，上述計 算裝置使用一個散列函數h計算一個二進制序列并且從這個二進制序列中 提取出數量等于承諾R的數量的詢問d，其中散列函數的參數包括消息M 和所有或部分承諾R。

步驟3：涉及應答D的操作

接收詢問d的裝置通過互連裝置接收來自簽名設備的各個詢問d。見 證設備計算應答D的裝置使用上述過程根據詢問d計算應答D。見證設備 包括通過互連裝置向簽名設備發送應答D的發送裝置，此后被稱作見證設 備的發送裝置。

審查人設備

適用于GQ系列的中國余數方法

本發明也涉及一個審查人設備。審查人設備尤其可以采取與審查人 實體相關的終端或遠程服務器的形式。審查人設備被用來為審查人服務 器驗證下列內容：

-一個實體的真實性和/或

-與這個實體相關的消息M的完整性。

通過所有或部分下列參數或這些參數的派生參數完成這個證明：

-m對保密數值Q₁，Q₂，...，Q_m和公開數值G₁，G₂，...，G_m(m大于或等于 1)，

-由f個素數p₁，p₂，...，p_f(f大于或等于2)的乘積構成的一個公開模數n，

-一個公開指數v。

上述模數，上述指數和上述數值有以下類型的關系

G_i·Q_i^v≡1 mod n或G_i≡Q_i^v mod n

其中Q_i表示一個審查人設備未知并且與公開數值G_i相關的保密數 值。

證明一個實體的真實性的實例

在一個能夠與其它實施例配合使用的第一可選實施例中，基于本發 明的審查人設備被用來驗證一個被稱作證明人的實體和一個被稱作審查 人的實體的真實性。

上述證明人設備包括連接裝置以便通過電子，電磁，光學或聲學方 式，尤其是通過數據處理通信網絡連接到與證明人實體相關的證明人設 備。上述審查人設備被用來執行下列步驟：

步驟1和2：涉及承諾R的操作，涉及詢問d的操作

上述審查人設備還具有通過連接裝置接收所有或部分來自證明人設 備的承諾R的裝置。

審查人設備具有詢問產生裝置，該裝置在接收所有或部分承諾R之后 產生數量等于承諾R的數量的詢問d，每個詢問d包括m個此后被稱作基本 詢問的整數di。

審查人設備還具有通過連接裝置向證明人發送詢問d的發送裝置，此 后被稱作審查人的發送裝置。

步驟3和4：涉及應答D的操作，涉及檢查的操作

審查人設備還包括：

-通過連接裝置接收來自證明人設備的應答D的裝置，

-計算裝置，此后被稱作審查人設備的計算裝置，

-比較裝置，此后被稱作審查人設備的比較裝置。

第一種情況：證明人已經發送一部分承諾R

如果審查人設備的接收裝置已經接收一部分承諾R，則審查人設備的 計算裝置在具有m個公開數值G₁，G₂，...，G_m的情況下根據各個詢問d和各個 應答D計算一個重構承諾R′，這個重構承諾R′滿足以下類型的關系

R’≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系

R’≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

審查人設備的比較裝置將各個重構承諾R′與接收的所有或部分承諾R 進行比較。

第二種情況：證明人已經全部發送承諾R

如果證明人的發送計算裝置已經發送全部承諾R，則審查人設備的計 算裝置和比較裝置在具有m個公開數值G₁，G₂，...，G_m的情況下確定各個承 諾R滿足以下類型的關系

R≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系

R≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

證明消息的完整性的實例

在一個能夠與其它實施例配合使用的第二可選實施例中，基于本發 明的審查人設備被用來驗證與一個被稱為證明人的實體相關的消息M的 完整性。

上述證明人設備包括連接裝置以便通過電子，電磁，光學或聲學方 式，尤其是通過數據處理通信網絡連接到與證明人實體相關的證明人設 備。上述審查人設備被用來執行下列步驟：

步驟1和2：涉及承諾R的操作，涉及詢問的操作

上述審查人設備還具有通過連接裝置接收來自證明人設備的令牌T的 裝置。審查人設備具有詢問產生裝置，該裝置在接收令牌T之后產生數量 等于承諾R的數量的詢問d，各個詢問d包括m個此后被稱作基本詢問的整 數。審查人設備還具有通過連接裝置向證明人發送所有或部分詢問d的發 送裝置，此后被稱作審查人的發送裝置。

步驟3和4：涉及應答D的操作，涉及檢查的操作

審查人設備還包括通過連接裝置接收來自證明人設備的應答D的裝 置。上述審查人設備還包括計算裝置，此后被稱作審查人設備的計算裝 置，上述計算裝置在具有m個公開數值G₁，G₂，...，G_m的情況下根據各個詢 問d和各個應答D計算一個重構承諾R′，這個重構承諾R′滿足以下類型的 關系

R’≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系

R’≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

接著使用一個散列函數h計算一個令牌T′，其中散列函數的參數包括 消息M和所有或部分重構承諾R′。

審查人設備還具有將計算的令牌T′與接收的令牌T相比較的比較裝 置，此后被稱作審查人設備的比較裝置。

消息的數字簽名及其真實性證明

在一個能夠與其它可選實施例配合使用的第三可選實施例中，基于 本發明的審查人設備被用來通過一個被稱作審查人的實體對已簽名消息 的檢查來驗證消息M的真實性。

由一個與簽名實體相關并且具有散列函數h(M，R)的簽名設備發送的 已簽名消息包括：

-消息M，

-詢問d和/或承諾R，

-應答D。

上述簽名設備包括連接裝置以便通過電子，電磁，光學或聲學方式， 尤其是通過數據處理通信網絡連接到與簽名實體相關的簽名設備。上述 審查人設備通過連接裝置從已簽名設備接收已簽名消息。

審查人設備包括：

-計算裝置，此后被稱作審查人設備的計算裝置，

-比較裝置，此后被稱作審查人設備的比較裝置。

在審查人設備具有承諾R，詢問d，應答D的情況下

如果審查人設備具有承諾R，詢問d，應答D，則審查人設備的計算 和比較裝置確定承諾R，詢問d和應答D滿足以下類型的關系

R≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系：

R≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

接著審查人設備的計算和比較裝置確定消息M，詢問d和承諾R滿足 散列函數：

d＝h(M，R)

在審查人設備具有詢問d和應答D的情況下

如果審查人設備具有詢問d和應答D，審查人設備的計算裝置根據各 個詢問d和各個應答D計算出滿足以下類型的關系的承諾R′

R’≡G₁^d1·G₂^d2·...·G_m^dm·D^v mod n

或以下類型的關系：

R’≡D^v/G₁^d1·G₂^d2·...·G_m^dm mod n

接著審查人設備的計算和比較裝置確定消息M和詢問d滿足散列函 數：

    d＝h(M，R′)

在審查人設備具有承諾R和應答D的情況下

如果審查人設備具有承諾R和應答D，則審查人設備的計算裝置使用 散列函數并且以下面方式計算出d′：

d′＝h(M，R)

接著審查人設備的計算和比較裝置確定承諾R，詢問d和應答D滿足 以下類型的關系：

R≡G₁^d’1·G₂^d’2·...·G_m^d’m·D^v mod n

或以下類型的關系：

R≡D^v/G₁^d’1·G₂^d’2·...·G_m^d’m mod n

當公開指數v＝2_k時有關可選實施例的詳細描述

描述

GQ技術的目標可以被表述成：對實體，相關消息以及消息的數字簽 名的動態認證。

GQ技術的標準版本利用了RSA技術。然而雖然RSA技術確實依賴 因數分解，但通過針對實現RSA技術的各種數字簽名標準的所謂乘法攻 擊可以看出這種依賴并不等價，并且差別很大。

在GQ2技術的環境中，本發明的當前部分更具體地涉及GQ2密鑰 集合在動態認證和數字簽名環境中的使用。GQ2技術不使用RSA技術。 GQ2技術有雙重目標：首先是改進RSA技術的性能，其次是克服RSA技 術的固有問題。GQ2私有密鑰是模數n的因數分解。任何對GQ2三元組 的攻擊均相當于對模數n的因數分解：此時存在等價關系。對于GQ2技 術，既減少了簽名實體或被認證的實體的工作負載，也減少了進行檢查 的實體的工作負載。通過在安全和性能方面改進對因數分解問題的使用， GQ2技術可以和RSA技術匹敵。

GQ2技術使用一或多個大于1的小整數，例如m個被稱作基數并且表 示成g_i的小整數(m≥1)。由于基數被固定到范圍g_i-g_m，m＞1上，根據下述 方式選擇一個公開驗證密鑰(v，n)。公開驗證指數v為2^k，其中k是大于1 的小整數(k≥2)。公開模數n是至少兩個大于基數的素數，例如f個被表示 成p_j的素數(f≥2)的乘積，其中p_j的范圍是p₁，p₂，...，p_f。選擇f個素數以便 對于從g₁到g_m的m個基數公開模數n具有下列性質。

-首先，不能用以n為模的整數環中的x對等式(1)和(2)求解，也就是說 g_i和-g_i是兩個非二次余數(mod n)。

x²≡g_i(mod n)(1)

x²≡-g_i(mod n)(2)

-其次，可以用以n為模的整數環中的x對等式(3)求解。 <math> <mrow> <msup> <mi>x</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mo>&equiv;</mo> <msubsup> <mi>g</mi> <mi>i</mi> <mn>2</mn> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </mrow> </math>

由于根據從g₁到g_m，m＞1的基數固定公開驗證密鑰(v，n)，各個基數g_i 確定一對包括公開數值G_i和保密數值Q_i的GQ2數值：提供m對被表示成 G₁Q₁到G_mQ_m的數值。公開數值G_i是基數g_i的平方：G_i＝g_i²。保密數值Q_i是 等式(3)的一個解，或者是這種解的反置(mod n)。

就象模數n被分解成f個素數那樣，以n為模的整數環被分解成f個從 CG(p₁)到CG(p_f)的Galois域。這里提供了等式(1)，(2)和(3)在CG(p_j)中的 投影。

x²≡g_i(mod p_i)(1.a)

x²≡-g_i(mod p_j)(2.a) <math> <mrow> <msup> <mi>x</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mo>&equiv;</mo> <msubsup> <mi>g</mi> <mi>i</mi> <mn>2</mn> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <msub> <mi>p</mi> <mi>j</mi> </msub> <mo>)</mo> </mrow> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>3</mn> <mo>.</mo> <mi>a</mi> <mo>)</mo> </mrow> </mrow> </math>

各個保密數值Q_i可以被唯一表示成f個私有分量，每個素數一個分量： Q_i，j≡Q_i mod p_j。各個私有分量Q_j是等式(3.a)的一個解，或者是這種解的 反置(mod pj)。在計算出各個等式(3.a)的所有可能的解之后，中國余 數技術根據f個分量Q_i，1到Q_i，f確定各個保密數值Q_i的所有可能數值：Qi＝ 中國余數(Q_i，1，Q_i，2，...，Q_i，f)，從而獲得等式(3)所有可能的解。

下面是中國余數技術：假定有兩個互素的正整數a，b和兩個分量 X_a，X_b，其中0＜a＜b，X_a從0到a-1，并且X_b從0到b-1。要求確定X＝中國余數 (X_a，X_b)，即從0到a.b-1的唯一數值，使得X_a≡X(mod a)并且X_b≡X(mod b)。下面是中國余數參數：α≡{b(mod a)}^-1(mod a)。下面是中國余數運 算：ε≡X_b(mod a)；δ＝X_a-ε；如果δ為負，則用δ+a替換ε；γ≡α·δ(mod a)； X＝γ·b+X_b。

當按照從最小的p₁到最大的p_f的升序排列素數時，中國余數參數如 下所述(其中有f-1個參數，即個數比素數少一個)。第一個中國余數參數是 α≡{p₂(mod p₁)}^-1(mod p₁)。第二個中國余數參數是β≡{p₁·p₂(mod p₃)}^-1 (mod p₃)。第i個中國余數參數是λ≡{p₁·p₂·…p_i-1(mod p_i)}^-1(mod p_i)。等 等，依此類推。最終，在f-1個中國余數運算中，根據第一個參數獲得第 一個結果(mod p₂乘以p₁)，接著根據第二個參數獲得第二個結果(mod p₁·p₂乘以p₃)，等等，依此類推直到得到一個結果(mod p₁·…p_f-1乘以p_f)， 即(mod n)。

私有密鑰GQ2有若干個可能表示，這揭示出私有密鑰GQ2的多態 性質。各種表示被證明均是等價的：它們均相當于有關模數n的因數分解 的知識，即真實的私有GQ2密鑰。如果表示確實影響了簽名實體或自 認證實體的行為，則不影響審查人實體的行為。

這里是GQ2私有密鑰的三種可能的主要表示。

1)GQ技術中的標準表示包括m個保密數值Q_i和公開驗證密鑰＜v， n＞的存儲；在GQ2中，這種表示等價于下列兩個表示。2)就工作負載 而言的最優表示在于存儲公開指數v，f個素數p_j，m.f個私有分量Q_ij 和中國余數的f-1個參數。3)就私有密鑰尺寸而言的最優表示在于存儲公 開指數v，m個基數g_i和f個素數p_j，接著在開始使用時確定m個保密數 值Q_i和模數n以便到第一種表示，或者確定m.f個私有分量和中國余數 的f-1個參數以便返回到第二種表示。

簽名或自認證實體可以全部使用相同的基數。除非專門指出，m個從 g₁到g_m的基數可以是m個第一素數；

由于動態認證機制或數字簽名機制的安全性等價于有關模數分解的 知識，GQ2技術不能被用來簡單區分兩個使用相同模數的實體。通常， 認證其自身或進行簽名的實體均具有其自身的GQ2模數。然而可以用四 個素數定義GQ2模數，其中一個實體知道兩個素數，而另一個實體知道 其它兩個素數。

這里是一個第一GQ2密鑰集合，其中k＝6，指定v＝64，m＝3，指定 三個基數：g₁＝3，g₂＝5，g₃＝7，并且f＝3，即一個具有三個素數的模數：兩 個恒等于3(mod 4)，一個恒等于5(mod 8)。必須注意g＝2與恒等于5(mod 8)的素數不兼容。

p₁＝03CD2F4F21EOEAD60266D5CFCEBB6954683493E2E833

p₂＝0583B097E8D8D777BAB3874F2E76659BB614F985EC1B

p₃＝OC363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD

n＝p₁·p₂·p₃＝FFFF81CEA149DCF2F72EB449C5724742FE2A3630D902 CCOOEAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144CDF 4BBDBA3C97578E29CC9BBEE8FB6DDDD

Q_1，1＝0279C60D216696CD6F7526E23512DAE090CFF879FDDE

Q_2，1＝7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89

Q_3，1＝6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F

Q_1，2＝0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502

Q_2，2＝04792CE70284D16E9A158C688A7B3FEAF9C40056469E

Q_3，2＝FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E

Q_1，3＝07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE

Q_2，3＝OAE8551E116A3AC089566DFDB3AE003CF174FC4E4877

Q_3，3＝01682D490041913A4EA5B80D16B685E4A6DD88070501

Q₁＝D7EICAF28192CED6549FF457708D50A7481572DD5F2C335D8C 69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2AC74D9 743435AB4D7CFOFF6557

Q₂＝CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E 4DB17563B9B3DC582D5271949F3DBA5A70CI08F56IA274405A5CB882 288273ADE67353A5BC316C093

Q₃＝09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A AD9DC50249C34312915E455917A1ED4D83AA3D607E3EB5C8B197697 238537FE7A0195C5E8373EB74D

下面是第二GQ2密鑰集合，其中k＝9，即v＝512，m＝2，即兩個基 數：g₁＝2，g₂＝3，并且f＝3，指定一個具有三個恒等于3(mod 4)的素數的 模數。

p₁＝03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB

p₂＝062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7

p₃＝OBCADEC219FIDFBB8AB5FE808AOFFCB53458284ED8E3

n＝p₁·p₂·p₃＝FFFF5401ECD9E537F167A80COA9111986F7A8EBA4D 6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73AOC497 61B276A8E6B6977A21D51669D039F1D7

Q_1，1＝0260BC7243C2245OD566B5C6EF74AA29F2B927AF68E1

Q_2，1＝0326C12FC7991ECDC9BB8D7CIC4501BE1BAE9485300E

Q_1，2＝02DOB4CC95A2DD435DOE22BFBB29C59418306F6CDOOA

Q_2，2＝045ECB881387582E7C556887784D2671CA118E22FCF2

Q_1，3＝BOC2B1F808D24F6376E3A534EB555EF54E6AEF5982

Q_2，3＝OAB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB

Q₁＝27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13 C35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6E DDA092DOCF108DOAB708405DA46

Q₂＝230DOB9595E5AD388F1F447A69918905EBFB05910582E5BA6 49C94BOB2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6F 11F19874DE7DC5D1DF2A9252D

動態認證

動態認證機制被用來向一個被稱為審查人的實體證明另一個被稱為 證明人的實體的真實性以及可能相關的消息M的真實性，使得審查人可 以確定其確實是并且是唯一的證明人，并且確定證明人確實發出了相同 的消息M。相關消息M是可選的。這意味著它可以是空的。

動態認證機制是一個四操作序列：一個承諾操作，一個詢問操作， 一個應答操作和一個檢查操作。證明人完成承諾和應答操作。審查人完 成詢問和審查操作。

在證明人內部，可以隔離見證以便隔離證明人最敏感的參數和功能， 即產生承諾和應答。見證具有參數k和私有密鑰GQ2，即根據前面三種表 示中的一種對模數n進行的因數分解：f個素數和m個基數，m.f個私有分 量，f個素數和f-1個中國余數參數，m個保密數值和模數n。

見證可以對應于一個部分實施例，例如與構成整個證明人的PC連接 的芯片卡，或PC內部特別保護的程序，或智能卡內部特別保護的程序。

如此隔離的見證類似于下面在簽名實體內部定義的見證。在每次執 行機制時，見證產生一或多個承諾R并且接著對一樣多的詢問d產生一樣 多的應答D。各個集合{r，d，D)是一個GQ2三元組。

除了包括見證之外，證明人在具有還具有一個散列函數和一個消息 M。

審查人具有模數n，參數k和m；在必要時還具有相同的散列函數和 一個消息M′。審查人能夠根據任何詢問d和任何應答D重構承諾R′。如 果沒有任何相反的指示，m個從g₁到g_m的基數是m個第一素數。各個詢 問d必須具有m個被表示成d₁到d_m的基本詢問：每個基數一個基本詢問。從 d₁到d_m的這種基本詢問的取值范圍是0到2^k-1-1(未使用v/2到v-1的范圍)。 通常各個詢問被編碼成m乘k-1個位(而不是m乘k個位)。例如，k＝6和m＝ 3并且基數為3，5和7，各個詢問在兩個字節中具有15個發送位；k＝9， m＝2并且基數2和3，各個詢問在兩個字節中具有16個發送位。當還可 能有(k-1).m個可能的詢問時，數值(k-1).m確定各個GQ2三元組提供的 安全性：一個根據定義不知道模數n的因數分解的冒名頂替者在2^(k-1).m次 償試中只有一次成功機會。當(k-1).m等于15至20時，一個三元組足夠合 理提供動態認證。為了在各種情況下實現任何的安全等級，可以并行產 生三元組。也可以順序產生，即重復執行機制。

1)涉及承諾的操作包括下列運算。

當見證具有從Q1到Qm的m個保密數值和模數n時，該見證以隨機 和秘密的方式抽出一或多個隨機數值r(0＜r＜n)；接著通過k次連續平方 (mod n)運算將各個隨機數值r轉換成承諾R。

R≡r^v mod n

這里是一個具有k＝6的第一密鑰集合的例子。

r＝B8AD426C1AC0165E94B894AC2437C1B1797EF562CFA53A4A F843131FF1C89CFDA13120719471OEF9CO1OE8F09C60D9815121981 260919967C3E2FB4B4566088E

R＝FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C5 6D3AF0參數k和m為審查人提供信息。7BE692CB1FE4EE70FA77032BE CD841113813134C21210C6130449CC4292E5DD2BDB00828AF18

當見證具有從p₁到p_f的m個素數和m.f個私有分量Q_ij時，該見證以 隨機和秘密的方式抽出一或多個隨機數值集合：各個集合針對每個素數 p_i(0＜r_i＜p_i)便具有一個隨機數值r_i；接著通過k次連續平方(mod p_i)運算 將各個隨機數值r_i轉換成承諾R_i的一個分量。

R_i≡r_i^v mod n

這里是一個具有k＝9的第二密鑰集合的例子。

r₁＝B0418EABEBADF0553A28903F74472CD49EE8C82D86

R₁＝022B365FOBEA8E157E94A9DEB0512827FFD5149880F1

r₂＝75A8DA8FEOE60BD55D28A218E31347732339F1D667

R₂＝057E43A242C485FC201DEEF291C774CF1B30F0163DEC2

r₃＝OD74D2BDA5302CF8BE2F6D406249D148C6960A7D27

R₃＝06E14C8FC4DD312BA3B475F1F40CFO1ACE2A88D5BB3C

對于包括f個承諾分量的各個集合，見證根據中國余數技術產生一個 承諾。承諾的數量和隨機數值集合一樣多。

R＝中國余數(R₁，R₂，...，R_f)

R＝28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73BOEBD 7D3FC8395CFA1AD7FCOF9DAC169A4F6F1C46FB4C3458D1E37C991 23B56446F6C928736B17134BA4A529

在兩種情況下，證明人向審查人發送所有或部分承諾R，或至少發送 一個散列碼H，其中通過雜湊各個承諾R和一個消息M來獲得上述散列碼 H。

2)涉及詢問的操作包括隨機抽出一或多個均由m個基本詢問 d₁，d₂，...，d_m構成的詢問d；各個基本詢問d_i的取值范圍為0到v/2-1。

d＝d₁，d₂，...，d_m

這里是一個具針對k＝3并且m＝3的第一密鑰集合的例子。

d₁＝10110＝22＝′16′；d₂＝00111＝7；d₃＝00010＝2

d＝0‖d₁‖d₂‖d₃＝01011000 11100010＝58 E2

這里是一個具針對k＝9并且m＝2的第二密鑰集合的例子。

d＝d₁‖d₂＝58 E2，即，十進制表示的88和226

審查人向證明人發送各個詢問d。

3)涉及應答的操作具有下列運算。

當見證具有m個從Q₁到Q_m的保密數值和模數n時，見證使用涉及 承諾的操作的各個隨機數值r和基于基本詢問的保密數值計算一或多個應 答D。 <math> <mrow> <mi>X</mi> <mo>&equiv;</mo> <msubsup> <mi>Q</mi> <mn>1</mn> <msub> <mi>d</mi> <mn>1</mn> </msub> </msubsup> <mo>&CenterDot;</mo> <msubsup> <mi>Q</mi> <mn>2</mn> <msub> <mi>d</mi> <mn>2</mn> </msub> </msubsup> <mo>&hellip;</mo> <msubsup> <mi>Q</mi> <mi>m</mi> <msub> <mi>d</mi> <mi>m</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math>

D≡r·X(mod n)

這里是一個針對第一密鑰集合的例子。

D＝FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF38 6EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480A2 C6A290273479FEC9171990A17

當見證具有f個從pi到pf的素數和m.f個私有分量Qi，j時，見證使 用涉及承諾的操作的各個隨機數值集合計算一或多個由f個應答分量構成 的集合：各個應答分量集合針對每個素數均包括一個分量。 <math> <mrow> <msub> <mi>X</mi> <mi>i</mi> </msub> <mo>&equiv;</mo> <msubsup> <mi>Q</mi> <mrow> <mn>1</mn> <mo>,</mo> <mi>i</mi> </mrow> <msub> <mi>d</mi> <mn>1</mn> </msub> </msubsup> <mo>&CenterDot;</mo> <msubsup> <mi>Q</mi> <mrow> <mn>2</mn> <mo>,</mo> <mi>i</mi> </mrow> <msub> <mi>d</mi> <mn>2</mn> </msub> </msubsup> <mo>&hellip;</mo> <msubsup> <mi>Q</mi> <mrow> <mi>m</mi> <mo>,</mo> <mi>i</mi> </mrow> <msub> <mi>d</mi> <mi>m</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <msub> <mi>p</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> </mrow> </math>

D_i≡r_i·X_i(mod p_i)

這里是一個針對第二密鑰集合的例子。

D₁＝r₁·Q_1，1d₁·Q_2，1d₂(modp₁)＝02660ADF3C73B6DC15E196152322DD E8EB5B35775E38

D₂＝r₂·Q_1，2d₁·Q_2，2d₂(modp₂)＝04015028E5FD1175724376011BE770522 05F7C62AE3R

D₃＝r₃·Q_1，3d₁·Q_2，3d₂(modp₃)＝0903D20DOC306C8EDA9D8FB5B3BEB 55E061AB39CCF52

針對各個應答分量集合，見證根據中國余數技術抽出一個應答。應答 的數量與詢問一樣多。

D＝中國余數(D₁，D₂，...，D_f)

D＝85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F 364CBB55BC44DEC437208CF530F8402BD9C511F5FB3B3A309257A00 195A7305C6FF3323F72DC1AB

在兩種情況下，證明人向審查人發送各個應答D。

4)檢查操作包括確定各個三元組{R，d，D}滿足下面針對非零數值的 等式。 <math> <mrow> <mi>R</mi> <mo>.</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>G</mi> <mi>i</mi> <msub> <mi>d</mi> <mi>i</mi> </msub> </msubsup> <mo>&equiv;</mo> <msup> <mi>D</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mrow> <mo>(</mo> <mi>mod</mi> <mi> n</mi> <mo>)</mo> </mrow> </mrow> </math> 或 <math> <mrow> <mi>R</mi> <mo>&equiv;</mo> <msup> <mi>D</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mo>.</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>G</mi> <mi>i</mi> <msub> <mi>d</mi> <mi>i</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math> 或產生各個承諾：承諾不應當為零。 <math> <mrow> <msup> <mi>R</mi> <mo>&prime;</mo> </msup> <mo>&equiv;</mo> <msup> <mi>D</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mo>/</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>G</mi> <mi>i</mi> <msub> <mi>d</mi> <mi>i</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math> 或 <math> <mrow> <msup> <mi>R</mi> <mo>&prime;</mo> </msup> <mo>&equiv;</mo> <msup> <mi>D</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mo>.</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>G</mi> <mi>i</mi> <msub> <mi>d</mi> <mi>i</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math>

在必要時審查人在雜湊各個重新建立的承諾R′和一個消息M′時計算 一個散列碼H′。當審查人審查人到在第一承諾操作結束時接收的內容， 即所有或部分承諾R或散列碼H時，動態認證成功。

例如，一個系列基本運算將應答D轉換成一個承諾R′。該操作序列具 有被k-1個基數除法或乘法分隔的k個平方(mod n)。對于在第i個平方和第 i+1個平方之間執行的第i個除法或乘法，基本詢問d_i的第i個位指示是否 有必要使用g_i，基本詢問d₂的第i個位指示是否有必要使用g₂，...，基 本詢問d_m的第i個位指示是否有必要使用g_m。

這里是一個針對第一密鑰集合的例子。

D²(modn)＝FD12E8E1F1370AEC9C7BA2E05C80AD2B692D341D4 6F32893948715491FOEB091B7606CA1E744E0688367D7BB998F7B73D5 F7FDA95D5BD6347DC8B978CA217733

3.D²(modn)＝F739B708911166DFE715800D8A9D78FC3F332FF622 D3EAB8E7977C68AD44962BEE4DAE3C0345D1CB34526D3B67EBE8B F987041B485289OD83FC6B48D3EF6A9DF

3².D⁴(mod n)＝682A7AF280C49FE230BEE354BF6FFB30B7519E3 C892DD07E5A781225BBD33920E5ADABBCD7284966D71141EAA17A F8826635790743EA7D9A15A33ACC7491D4A7

3⁴.D⁸(mod n)＝BE9D828989A2C184E34BA8FEOF384811642B7B54 8F870699E7869F8ED851FC3DB3830B2400C516511AOC28AFDD21OE C3939E69D413FOBABC6DEC441974B1A291

3⁵.5.D⁸(mod n)＝2B40122E225CD858B26D27B768632923F2BBE5D B15CA9EFA77EFA667E554A02AD1A1E4F6B59BD9E1AE4A537D4AC 1E89C2235C363830EBF4DB42CEA3DA98CFE00

3¹⁰.5².D¹⁶(mod n)＝BDD3B34C90ABBC870C604E27E7F2E9DB2D3 8368EA46C931C66F6C7509B118E3C162811A98169C30D4DEF768397D DB8F6526B6714218DEB627E11FACA4B9DB268

3¹¹.5³.7.D¹⁶(mod n)＝DBFA7F4OD338DE4FBA73D42DBF427BBF 195C13D02ABOFA5F8C8DDB5025E34282311CEF80BACDCE5DOC43 3444A2AF2B15318C36FE2AEOZF3C8CB25637C9AD712F

3²².5⁶.7².D³²(mod n)＝C60CA9C4A11F8AA89D9242CE717E3DC6C 1A95D5D09A2278F8FEE1DFD94EE84D09D000EA8633B53C4AOE7FO AEECB70509667A3CB052029C94EDF27611FAE286A7

3²².5⁷.7².D³²(mod n)＝DE40CB6B41CO1E722E4F312AE7205F18CD D0303EA52261CBOEA9FOC7EOCD5EC53D42E5CB645B6BB1A3BOO C77886F4AC5222F9C863DACA440CF5F1A8E374807AC

3⁴⁴.5¹⁴.7⁴.D⁶⁴(mod n)，即具有十六進制指數的3^2C.5^E.7⁴.D⁴⁰(mod n)＝ FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56D3AF 07BE692CB1FE4EE70FA77032BECD8411B813B4C2121OC6B0449CC4 292E5DD2BDB00828AF18

我們發現承諾R。認證成功。

這里是一個針對第二密鑰集合的例子。

D²(mod n)＝C66E585D8F132F7067617BC6DOOBA699ABD74FB 9D13E24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D7 0AEC693F8395ACEF9206B172A8A2C2CCBB

3.D²(mod n)＝534C6114D385C3E15355233C5BOOD09C2490D 1B8D8ED3D59213CB83EAD41C309A187519E5F501C4A45C37EB2FF3 8FBF201D6D138F3999FC1D06A2B2647D48283

3².D⁴(mod n)＝A9DC8DEA867697E76B4C18527DFFC49F465847 3D034EC1DDEOEB21F6F65978BE477C4231AC9B1EBD93D5D4942240 8E4715919023816BC3C6C46A92BBD326AADF

2.3³.D⁴(mod n)＝FB2D57796039DFC4AF9199CAD44B66F257A 1FF3F2BA4C12BOA8496A0148B4DFBAFE838EOB5A7D9FB4394379D 72A107E45C51FCDB7462D03A35002D29823A2BB5

2².3⁶.D⁸(mod n)＝4C210F96FF6C77541910623B1E49533206DFB 9E916521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5 E5D82ACB23DAF1AOD5A721A1890D03AOOBD8

2².3⁷.D⁸(mod n)＝E4632EC4FE4565FC4B3126B15ADBF996 149F2DBB42F65D911D385191OFE7EA53DAEA7EE7BA8FE9D081DB7 8B249B1B18880616B90D4E280F564E49B270AE02388

2⁴.3¹⁴.D¹⁶(mod n)＝ED3DDC716AE3D1EA74C5AF935DE814BCC 2C78B12A6BB29FA542F9981C5D954F53D153B9F0198BA82690EF665C 17C399607DEA54E218C2CO1A890D422EDA16FA3

2⁵.3¹⁴.D¹⁶(mod n)＝DA7C64EOE8EDBE9CF823B71AB13F17E 11614876BOOOFBB473F5FCBF5A5D8D26C7B2A05D03BDDD588164E 562DOF57AE94AEOAD3F35C61C0892F4C91DCOB08ED6F

2¹⁰.3²⁸.D³²(mod n)＝6ED6AFC5A87D2DD117B0D89072C99F B9DC95D558F65B6A1967E6207D4ADBBA32001D3828A35069B256A07 C3D722E17DA30088E6E739FBC419FD7282D16CD6542

2¹¹.3²⁸.D³²(mod n)＝DDAD5F8B50FA5BA22F61B120E5933F73B 92BAAB1ECB6D432CFCC40FA95B77464003A705146AOD364AD40F87 AE45E2FB460111CDCE77F78833FAE505A2D9ACA84

2²².3⁵⁶.D⁶⁴(mod n)＝A466DOCB17614EFD961000BD9EABF4F02 136178307101882BC1764DBAACB715EFBF5D8309AEOO1EB5DEDA8 FOOOE44B3D4578E5CA55797FD4BD1F8E919BE787BD0

2⁴⁴.3¹¹².D¹²⁸(mod n)＝925BOEDF5047EFEC5AFABDC03A830919 761B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F 8FDEC740778BDC178AD7AF2968689B930D5A2359

2⁴⁴.3¹¹³.D¹²⁸(mod n)＝B711D89C03FDEA8D1F889134A4F809B3F2 D8207F2AD8213D169F2E99ECEC4FE08038900FOC203B55EE4F4C803 BFB912A04F11D9DB9D076021764BC4F57D47834

2⁸⁸.3²²⁶.D²⁵⁶(mod n)＝41A83F119FFE4A2F4AC7E5597A5DOBEB 4D4C08D19E597FDU34FE720235894363A19D6BC5AF323D24B1B7FCF D8DFCC628021B4648D7EF757A3E461EFOCFFOEA13

2¹⁷⁶.3⁴⁵²，D⁵¹²(mod n)，即4⁸⁸.9²²⁶.D⁵¹²(mod n)＝28AA7F12259 BFBA81368EB49C93EEAB3F3EC6BF73BOEBD7D3FC8395CFA1AD7 FCOF9DAC 169A4F6F1C46FB4C3458D1E37C99123B56446F6C928736B17B4BA4A5 29

我們發現承諾R。認證成功。

數字簽名

數字簽名機制允許一個被稱作簽名實體的實體產生已簽名消息并且 允許一個被稱作審查人的實體確定已簽名消息。消息M是任意的二進制 序列：可以為空。通過增加一個簽名附錄對消息M進行簽名。這個簽名 附錄包括一或多個承諾和/或詢問以及對應的應答。

審查人具有相同的散列函數，參數k，m和模數n。參數k和m為審查 人提供信息。首先，從d1到dm的各個基本詢問的取值范圍必須是0到2^k-1- 1(未使用v/2到v-1的范圍)。其次，各個詢問必須包括m個被表示成d₁到d_m 的基本詢問，其數量與基數一樣多。此外，如果沒有任何相反的指示，m 個從g₁到g_m的基數是m個第一素數。在(k-1).m等于15至20的情況下，可 以用四個并行產生的GQ2三元組簽名；在(k-1).m等于60或更多的情況 下，可以用一個單獨的GQ2三元組簽名。例如，對于k＝9和m＝8，一 個單獨GQ2三元組便足夠了；各個詢問具有八個字節并且基數為2，3，5， 7，11，13，17和19。

簽名運算是由三個操作構成的操作序列：一個承諾操作，一個詢問 操作和一個應答操作。各個操作產生一或多個GQ2三元組，其中每個 三元組包括：一個承諾R(≠0)，一個由m個基本詢問d1，d2，...，dm構成的詢 問d，和一個應答D(≠0)。

簽名實體具有一個散列函數，參數k和GQ2私有密鑰，即基于上述三 種表示中的一種的模數n因數分解。在簽名實體內部，可以通過隔離執行 承諾和應答操作的見證來隔離對證明人非常敏感的功能和參數。為了計 算承諾和應答，見證具有參數k和GQ2私有密鑰，即基于上述三種表示中 的一種的模數n因數分解。因而以類似于證明人內部規定見證的方式隔離 見證。可以對應于一個具體實施例，例如與共同構成簽名實體的PC連接 的芯片卡，或PC內部特別保護的程序，或智能卡內部特別保護的程序。

1)承諾操作包括下列運算：

當見證具有從Q₁到Q_m的m個保密數值和模數n時，該見證以隨機和 秘密的方式抽出一或多個隨機數值r(0＜r＜n)；接著通過k次連續平方(mod n)運算將各個隨機數值r轉換成承諾R。

R_i≡r^v mod n

當見證具有從p₁到p_f的m個素數和m.f個私有分量Q_ij時，該見證以 隨機和秘密的方式抽出一或多個隨機數值集合：各個集合針對每個素數 p_i(0＜r_i＜p_i)便具有一個隨機數值r_i；接著通過k次連續平方(mod p_i)運算 將各個隨機數值r_i轉換成承諾R_i的一個分量。

R_i≡r_i^v mod p_i

對于包括f個承諾分量的各個集合，見證根據中國余數技術產生一個 承諾。承諾的數量和隨機數值集合一樣多。

R＝中國余數(R₁，R₂，...，R_f)

2)詢問操作包括雜湊所有承諾R和要簽名的消息M以獲得一個被簽名 實體用來構成一或多個均包括m個基本詢問的詢問的散列碼；各個基本詢 問的取值范圍為0到v/2-1；例如對于k＝9和m＝8。各個詢問具有八個字 節。詢問的數量與承諾一樣多。

d＝d₁，d₂，...，d_m，從結果Hash(M，R)中提取

3)應答操作包括下列運算。

當見證具有m個從Q₁到Q_m的保密數值和模數n時，見證使用涉及承 諾操作的各個隨機數值r和基于基本詢問的保密數值計算一或多個應答 D。 <math> <mrow> <mi>X</mi> <mo>&equiv;</mo> <msubsup> <mi>Q</mi> <mn>1</mn> <msub> <mi>d</mi> <mn>1</mn> </msub> </msubsup> <mo>&CenterDot;</mo> <msubsup> <mi>Q</mi> <mn>2</mn> <msub> <mi>d</mi> <mn>2</mn> </msub> </msubsup> <mo>&hellip;</mo> <msubsup> <mi>Q</mi> <mi>m</mi> <msub> <mi>d</mi> <mi>m</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math>

D≡r·X(mod n)

當見證具有f個從p_i到p_f的素數和m.f個私有分量Q_ij時，見證使用涉 及承諾的操作的各個隨機數值集合計算一或多個由f個應答分量構成的集 合：各個應答分量集合針對每個素數均包括一個分量。 <math> <mrow> <msub> <mi>X</mi> <mi>i</mi> </msub> <mo>&equiv;</mo> <msubsup> <mi>Q</mi> <mrow> <mn>1</mn> <mo>,</mo> <mi>i</mi> </mrow> <msub> <mi>d</mi> <mn>1</mn> </msub> </msubsup> <mo>&CenterDot;</mo> <msubsup> <mi>Q</mi> <mrow> <mn>2</mn> <mo>,</mo> <mi>i</mi> </mrow> <msub> <mi>d</mi> <mn>2</mn> </msub> </msubsup> <mo>&hellip;</mo> <msubsup> <mi>Q</mi> <mrow> <mi>m</mi> <mo>,</mo> <mi>i</mi> </mrow> <msub> <mi>d</mi> <mi>m</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <msub> <mi>p</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> </mrow> </math>

D_i≡r_i·X_i(mod p_i)

針對各個應答分量集合，見證根據中國余數技術建立一個應答。應答 的數量與詢問一樣多。

D＝中國余數(D₁，D₂，...，D_f)

簽名實體通過加入一個簽名附錄對消息M進行簽名，簽名附錄包括：

-各個GQ2三元組，即各個承諾R，各個詢問d和各個應答D中的任意 一個，

-或各個承諾R和各個對應的應答D，

-或各個詢問d和對應的應答D。

根據簽名附錄的內容運行驗證運算。存在三個可能情況。

如果附錄包括一或多個三元組，檢查運算具有兩個時序并不重要的 獨立進程。當且僅當下面兩個條件被滿足是審查人才接受簽名消息。

首先，各個三元組必須是一致的(必須滿足一個下面類型的適當關系) 和可接受的(必須在非零數值上進行比較)。 <math> <mrow> <mi>R</mi> <mo>.</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>G</mi> <mi>i</mi> <msub> <mi>d</mi> <mi>i</mi> </msub> </msubsup> <mo>&equiv;</mo> <msup> <mi>D</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math> 或 <math> <mrow> <mi>R</mi> <mo>&equiv;</mo> <msup> <mi>D</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mo>.</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>G</mi> <mi>i</mi> <msub> <mi>d</mi> <mi>i</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math>

例如，通過一個基本運算序列轉換應答D：被k-1個基數乘法或除法 運算(mod n)分隔的k個平方(mod n)。對于在第i個平方和第i+1個平方之 間執行的第i個除法或除法，基本詢問d₁的第i個位指示是否有必要使用 g₁，基本詢問d₂的第i個位指示是否有必要使用g₂，...，基本詢問d_m的第 i個位指示是否有必要使用g_m。因而有必要檢索簽名附錄中出現的各個 承諾R。

此外，一或多個三元組必須與消息M關聯起來。通過雜湊所有承諾R 和一個M，獲得一個散列碼，其中必須根據上述散列碼恢復出各個詢問d。

d＝d₁，d₂，...，d_m，與從結果Hash(M，R)中提取的相同

如果附錄中沒有詢問，則檢查運算開始通過雜湊所有承諾R和消息M 重構一或多個詢問d。

d＝d′₁，d′₂，...，d′_m，從結果Hash(M，R)中提取

接著，當且僅當各個三元組是一致的(滿足一個下面類型的適當關系) 和可接受的(在非零數值上進行比較)審查人才接受簽名消息。 <math> <mrow> <mi>R</mi> <mo>.</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>G</mi> <mi>i</mi> <msub> <msup> <mi>d</mi> <mo>&prime;</mo> </msup> <mi>i</mi> </msub> </msubsup> <mo>&equiv;</mo> <msup> <mi>D</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math> 或 <math> <mrow> <mi>R</mi> <mo>&equiv;</mo> <msup> <mi>D</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mo>.</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>G</mi> <mi>i</mi> <msub> <mi>d</mi> <mi>i</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math>

如果附錄中沒有承諾，則檢查運算開始根據下列兩個公式中的一個 適當的公式重構一或多個承諾R′。重新建立的承諾不應當為零。 <math> <mrow> <msup> <mi>R</mi> <mo>&prime;</mo> </msup> <msup> <mrow> <mo>&equiv;</mo> <mi>D</mi> </mrow> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mo>/</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>G</mi> <mi>i</mi> <msub> <mi>d</mi> <mi>i</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math> 或 <math> <mrow> <msup> <mi>R</mi> <mo>&prime;</mo> </msup> <mo>&equiv;</mo> <msup> <mi>D</mi> <msup> <mn>2</mn> <mi>k</mi> </msup> </msup> <mo>.</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msubsup> <mi>G</mi> <mi>i</mi> <msub> <mi>d</mi> <mi>i</mi> </msub> </msubsup> <mrow> <mo>(</mo> <mi>mod</mi> <mi>n</mi> <mo>)</mo> </mrow> </mrow> </math>

接著，審查人必須雜湊所有承諾R′和消息M以便重構各個詢問d。

d＝d₁，d₂，...，d_m，與從結果Hash(M，R′)中提取的相同

當且僅當各個重構的詢問與附錄中的對應詢問相同時審查人才接受 簽名消息。

在本申請中已經說明存在被用來實現基于本發明、被用來證明一個 實體的真實性和/或一個消息的完整性和/或真實性的方法，系統和設備的 成對保密數值和公開數值Q與G。

在France Telecom，TDF和Math RiZK公司與本申請同日提交、發明 人為Louis Guillou和Jean-Jacques Quisquater的待決申請中描述了一個 產生GQ2密鑰集合，即指數v等于2^k時的模數n和成對公開與保密數值G 與Q的方法。這里參考引用了這個專利申請。