Rabin 数字签名

https://aaron67.cc/2021/07/10/rabin-signatures/

本文将详细介绍 Rabin 数字签名的算法细节。在开始之前，你需要对模运算、同余和模逆元的概念有一些了解。

算法过程

质数 $p$ 和 $q$，且有 $p\equiv 3(\mathrm{m}\mathrm{o}\mathrm{d}4)$，$q\equiv 3(\mathrm{m}\mathrm{o}\mathrm{d}4)$。

组合 $(p,q)$ 为私钥，两数的乘积 $n=pq$ 为对应的公钥。

使用私钥 $(p,q)$ 对消息 $m$ 签名的结果为组合 $(S,U)$，满足

$$S^2\equiv H(m||U)(\mathrm{m}\mathrm{o}\mathrm{d}n)\text{\hspace{1em}(1)}$$

其中的 $U$ 被称为填充值，$H(m||U)$ 的意思是将 $m$ 和 $U$ 的二进制流拼接在一起后再计算哈希，并将哈希结果（二进制流）看成一个整数。

令 $H=H(m||U)\mathrm{m}\mathrm{o}\mathrm{d}n$ 来简化书写。当 $U$ 确定后，可以用下式计算 $S$ 的值。

$$S=\left[q\cdot (H^{\frac{p+1}{4}}\mathrm{m}\mathrm{o}\mathrm{d}p)\cdot (q^{p-2}\mathrm{m}\mathrm{o}\mathrm{d}p)+p\cdot (H^{\frac{q+1}{4}}\mathrm{m}\mathrm{o}\mathrm{d}q)\cdot (p^{q-2}\mathrm{m}\mathrm{o}\mathrm{d}q)\right]\mathrm{m}\mathrm{o}\mathrm{d}n\text{\hspace{1em}(2)}$$

这样便得到了一组 $(S,U)$，将结果代入 (1) 式验算，若成立则返回这组结果，反之则改变 $U$ 的值重新计算 $S$，直到找到一组满足 (1) 式的解。

请注意，当 $p\equiv 3(\mathrm{m}\mathrm{o}\mathrm{d}4)$ 时，$\frac{p+1}{4}$ 是一个整数，同理 $\frac{q+1}{4}$ 也是一个整数。

完整代码请参考 rabin.py。签名时，通过循环在 $m$ 后追加字节 0x00 来改变 $H$ 的值，并在计算出 $S$ 后验证 (1) 式是否成立，是则跳出循环返回，否则继续寻找。

def sign(p: int, q: int, digest: bytes) -> tuple:
    """
    :param p: part of private key
    :param q: part of private key
    :param digest: message digest to sign
    :return: rabin signature (S: int, U: bytes)
    """
    n = p * q
    i = 0
    while True:
        h = hash_to_int(digest + b'\x00' * i) % n
        lp = q * pow(h, (p + 1) // 4, p) * pow(q, p - 2, p)
        rp = p * pow(h, (q + 1) // 4, q) * pow(p, q - 2, q)
        s = (lp + rp) % n
        if (s * s) % n == h % n:
            break
        i += 1
    return s, b'\x00' * i

验签时只需判断 (1) 式是否成立即可。

def verify(n: int, digest: bytes, s: int, u: bytes) -> bool:
    """
    :param n: rabin public key
    :param digest: digest of signed message
    :param s: S of signature
    :param u: padding U of signature
    """
    return hash_to_int(digest + u) % n == (s * s) % n

通过上面的描述你能看到，Rabin 签名的计算过程相对复杂，但验证过程极其简单。这个特性使得它非常适合在链上直接验签，虽然我们也可以在比特币脚本中实现 ECDSA 的验签逻辑，但它的计算成本要比验证 Rabin 签名高出许多。

整个算法设计基于这样的数学难题：在模是大合数的情况下，求二次剩余平方根是困难的。使用 Rabin 签名时，为了获得足够的安全性，公钥 $n$ 和哈希 $H(m||U)$ 的结果至少需要 3072 位（bit）。

至此，我们介绍了如何计算和验证 Rabin 签名，并给出了完整代码，方便你直接使用。如果你还关心这些结论和公式背后的推导过程，可以继续阅读，我们留了一些问题没有解答：

• 问题一：当 $p\equiv 3(\mathrm{m}\mathrm{o}\mathrm{d}4)$ 时，为什么 $\frac{p+1}{4}$ 是一个整数？
• 问题二：公式 (1) 是如何推导出公式 (2) 的？

问题一

证明当 $p\equiv 3(\mathrm{m}\mathrm{o}\mathrm{d}4)$ 时，$\frac{p+1}{4}$ 是一个整数。

根据同余的定义，对 $p\equiv 3(\mathrm{m}\mathrm{o}\mathrm{d}4)$，存在整数 $m$、$n$ 和 $r$ 满足：

$$\{\begin{array}{l}p=4m+r\\ 3=4n+r\end{array}$$

两式相减，有

$$p-3=4(m-n)\text{\hspace{1em}(3)}$$

因为 $m$ 和 $n$ 都是整数，所以 $(m-n)$ 也是整数。也就是说，若两数在某个模数下同余，则两数的差是模数的整数倍，反之亦然。

等式 (3) 两边同时加 4，得到 $p+1=4(m-n+1)$，即 $\frac{p+1}{4}=m-n+1$。因为 $m$ 和 $n$ 都是整数，所以 $(m-n+1)$ 也是整数，证毕。

二次剩余

在数论特别是同余理论中，一个整数 $X$ 对另一个整数 $p$ 的二次剩余（quadratic residue），指的是 $X$ 的平方 $X^2$ 除以 $p$ 得到的余数。

若存在某个 $X$ 使得 $X^2\equiv d(\mathrm{m}\mathrm{o}\mathrm{d}p)$ 成立，则称 $d$ 是模 $p$ 的二次剩余。若对任意的 $X$ 式子 $X^2\equiv d(\mathrm{m}\mathrm{o}\mathrm{d}p)$ 均不成立，则称 $d$ 是模 $p$ 的非二次剩余。

例如，2 是模 7 的二次剩余，因为当 $X=3$ 时 $3^2\equiv 2(\mathrm{m}\mathrm{o}\mathrm{d}7)$ 成立。3 是模 7 的非二次剩余，因为你找不到整数 $X$ 使式子 $X^2\equiv 3(\mathrm{m}\mathrm{o}\mathrm{d}7)$ 成立。

求二次剩余的平方根，即已知 $d$ 和 $p$ 求 $X$，可以使用 Tonelli–Shanks 算法。

当 $p\equiv 3(\mathrm{m}\mathrm{o}\mathrm{d}4)$ 时，该算法有简化版本，即

$$X=\{\begin{array}{l}{d}^{\frac{p+1}{4}}\mathrm{m}\mathrm{o}\mathrm{d}p\\ -d^{\frac{p+1}{4}}\mathrm{m}\mathrm{o}\mathrm{d}p\end{array}$$

例如，当 $p=7$ 时，若 $X^2\equiv 2(\mathrm{m}\mathrm{o}\mathrm{d}7)$，则

$$X=\{\begin{array}{l}{2}^{\frac{7+1}{4}}\mathrm{m}\mathrm{o}\mathrm{d}7=4\mathrm{m}\mathrm{o}\mathrm{d}7=4\\ -2^{\frac{7+1}{4}}\mathrm{m}\mathrm{o}\mathrm{d}7=-4\mathrm{m}\mathrm{o}\mathrm{d}\end{array}$$