40、特定交互协议中RSA签名的计算研究

原创于 2025-10-23 12:07:00 发布 · 595 阅读

25 ·

CC 4.0 BY-SA版权

文章标签：

#RSA签名 #交互式协议 #代数策略

特定交互协议中RSA签名的计算研究

在密码学领域，研究交互式协议的安全性一直是一个具有挑战性的问题。本文聚焦于基于RSA系统的交互式协议，探讨个体如何利用从签名权威机构获取的RSA签名来计算未由该机构颁发的签名类型。

1. 研究背景与问题提出

在密码学中，研究某些类别的交互式协议的安全性是一个具有挑战性的问题。以交互式乒乓协议为例，在这类协议中，一方生成秘密消息，应用一系列操作后发送给另一方，另一方同样进行操作并返回结果。在每一步中，双方交替对消息进行操作。这就引发了一个问题：一个“活跃”的第三方是否能够通过篡改消息、冒充其他用户等手段发现初始消息。

本文关注基于RSA系统的交互式协议。在这些协议中，签名权威机构（设为Z）选择并固定RSA模数N，向个体（设为A）颁发一定数量的RSA签名。这些签名由模N的剩余类的有理幂的乘积组成，其中部分剩余类由Z选择，部分可由A自由选择，因此A可以影响所获签名的形式。A的目标是选择合适的剩余类，以便利用从Z获得的签名计算出Z未颁发的签名类型。

此前的研究考虑了一些特殊情况，例如仅Z选择剩余类（[EvH92]）和仅A选择剩余类（[Dav82]、[Den1184]和[DO85]）。本文的研究基于以下两个假设：
- A无法对随机选择的模N剩余类计算RSA根。
- A在计算中仅使用模N的乘法和除法。

2. 相关符号说明

为了准确描述和分析问题，本文使用了一系列特定的符号：
|符号|含义|
| ---- | ---- |
|$\gcd(a_1, \ldots, a_l)$|对于有理数，定义为存在$d \in \mathbb{N}$，使得$a_1d, \ldots, a_ld \in \mathbb{Z}$，且$\gcd(a_1d, \ldots, a_ld)$，此定义与$d$的选择无关|
|$\mathbf{S}^k$|对于任意集合$S$，表示向量$(a_1, \ldots, a_k)$的集合，其中$a_1, \ldots, a_k \in S$，用粗体字符表示向量|
|$a \leftarrow_R S$|表示从集合$S$中按照均匀概率分布随机选择一个元素（记为$a$）|
|$(a_1, \ldots, a_k) \leq (b_1, \ldots, b_k)$|若$a = (a_1, \ldots, a_k)$且$b = (b_1, \ldots, b_k)$|
|$a \equiv b \pmod{m}$|$m^{-1}(b - a) \in \mathbb{Z}$，对于$a, b \in \mathbb{Q}^ $，$m \in \mathbb{N}$，$m > 0$|
|$N$|一个复合奇数|
|$\mathbb{Z}_N^ $|集合${a \mid a \in \mathbb{N}, 1 \leq a \leq N, \gcd(a, N) = 1}$，包含$\varphi(N)$个元素|
|$\mathbb{Q}_N$|环${\frac{a}{d} \mid a, d \in \mathbb{Z}, d > 0, \gcd(d, \varphi(N)) = 1}$|
|$x^{\frac{1}{d}} \pmod{N}$|$x$模$N$的$d$次RSA根，即对于$x \in \mathbb{Z}_N^ $和$d \in \mathbb{Z}$，$\gcd(d, \varphi(N)) = 1$，满足$S^d \equiv x \pmod{N}$的唯一解$S \in \mathbb{Z}_N^ $|
|$x^a \pmod{N}$|对于$x = (x_1, \ldots, x_k) \in (\mathbb{Z}_N^ )^k$和$a = (a_1, \ldots, a_k) \in (\mathbb{Z}_N)^k$，$S \equiv x_1^{a_1} \cdots x_k^{a_k} \pmod{N}$的数$S \in \mathbb{Z}_N^ $|
|$[a_1 \cdots a_l]$|列向量为$a_1, \ldots, a_l$的矩阵|
|$X \cdot A$|对于$A = [a_1 \cdots a_l] \in (\mathbb{Q}_N)^{k \times l}$和$X \in (\mathbb{Z}_N^ )^k$，$(x^{a_1}, \ldots, x^{a_l}) \in (\mathbb{Z}_N^ )^l$，其中$x^a$按上述定义|
|$\text{length}(n)$|$n \in \mathbb{N}$的二进制表示的长度，负整数、有理数、向量和矩阵的长度按相应规则定义|

3. 交互式协议及问题阐述

本文考虑的交互式协议1更为通用。签名权威机构Z创建RSA模数N，并向个体A颁发RSA签名，这些签名是模N剩余类的有理幂的乘积。设$M = {A, B, C, D}$为一组固定的有理矩阵，其中$A \in (\mathbb{Q}_N)^{k \times l}$，$B \in (\mathbb{Q}_N)^{m \times l}$，$C \in (\mathbb{Q}_N)^{k \times n}$，$D \in (\mathbb{Q}_N)^{m \times n}$。

在协议1中，个体A请求Z创建RSA签名$s_1 \equiv u^A h_1^B \pmod{N}$，其中$u \in (\mathbb{Z}_N^ )^k$由Z随机选择，$h_1 \in (\mathbb{Z}_N^ )^m$由A选择（$h_1$可能依赖于$N$、$M$和$u$）。然而，A希望得到签名$s_2 \equiv u^C h_2^D \pmod{N}$，因此他需要选择合适的$h_1$，以便在协议执行后能够从$(N, A, B, C, D, u, h_1, s_1)$计算出满足$s_2 \equiv u^C h_2^D \pmod{N}$的$(s_2, h_2)$。这种选择$h_1$以计算$(s_2, h_2)$的方式被称为M - 策略。

问题1：对于哪些矩阵系统$M = {A, B, C, D}$，存在可行的M - 策略，即具有多项式时间复杂度（关于$\text{length}(N, A, B, C, D)$）且以至少$\frac{1}{2}$的概率输出满足$s_2 \equiv u^C h_2^D \pmod{N}$的$(s_2, h_2)$的M - 策略？

在特殊情况下，当$B$和$D$是全为1的矩阵时，问题在[EvH90]中已得到解决。若对$h_1$没有限制，根据引理1，我们可以将问题简化为$D$为全零矩阵的情况。

引理1：设$C \in (\mathbb{Q}_N)^{k \times n}$，$D \in (\mathbb{Q}_N)^{m \times n}$，$u \in (\mathbb{Z}_N^ )^m$，则存在一个矩阵$\tilde{C} \in (\mathbb{Q}_N)^{k \times n}$（可在多项式时间内从$C$和$D$计算得到），使得计算满足$s \equiv u^C h^D \pmod{N}$的对$(s, h) \in (\mathbb{Z}_N^ )^n \times (\mathbb{Z}_N^*)^m$与计算$u^{\tilde{C}}$在多项式时间内等价。

4. 代数策略分析

由于确定存在任意可行M - 策略的矩阵$A$、$B$、$C$较为困难，本文考虑一种特殊的M - 策略，即代数M - 策略。在代数策略中，A仅对$u$使用模N的乘法和除法来计算$h_1$，且这些操作的选择与$u$无关。可以设想，如果不存在可行的代数M - 策略，那么可能也不存在其他类型的可行M - 策略，但目前尚无定论。

设$A \in (\mathbb{Q}_N)^{k \times l}$，$B \in (\mathbb{Q}_N)^{m \times l}$，$C \in (\mathbb{Q}_N)^{k \times n}$为固定的有理矩阵。假设A采用代数M - 策略，那么在协议1中，$h_1$必须由$u$的元素的整数幂的乘积组成，即$h_1 = u^X$，其中$X \in \mathbb{Z}^{k \times m}$。因此，我们将分析协议2（如图3所示），而不是一般的协议1。

同时，假设A无法对模N计算RSA根，否则他可以伪造所有签名。在这个假设下，[EvH92]的推论对协议2有如下影响：

命题：设$A$、$B$、$C$为具有有理元素的矩阵，则以下两个陈述等价：
- 存在一个关于$\text{length}(A, B, C)$的概率多项式算法，用于计算满足$C = (A + XB)Y + Z$的整数矩阵$X$、$Y$、$Z$。
- 个体A存在可行的代数M - 策略，用于从${N, A, B, C, u}$计算$h$，并从${N, A, B, C, u, u^A h^B}$计算$u^C$。

这就引出了问题2：

问题2：设$A \in (\mathbb{Q}_N)^{k \times l}$，$B \in (\mathbb{Q}_N)^{m \times l}$，$C \in (\mathbb{Q}_N)^{k \times n}$为有理矩阵，寻找一个关于$\text{length}(A, B, C)$的多项式时间算法，用于判定方程$C = (A + XB)Y + Z$在整数矩阵$X \in \mathbb{Z}^{k \times m}$，$Y \in \mathbb{Z}^{l \times n}$，$Z \in \mathbb{Z}^{k \times n}$中是否有解，若有解则找出解$X$、$Y$、$Z$。

目前，问题2在一般情况下尚未完全解决。不过，已证明当$n = 1$时存在这样的多项式时间算法，但本文未包含相关内容。接下来的部分将解决$k = l = m = n = 1$的特殊情况。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(选择u随机):::process
    B --> C(选择h):::process
    C --> D{验证s = u^a h^b (mod N)}:::decision
    D -->|是| E(计算s1 = u^a h^b):::process
    D -->|否| C
    E --> F(想要计算满足t = u^c k^d的(t, k)):::process
    F --> G([结束]):::startend

这个流程图展示了交互式签名颁发协议的主要步骤，从签名权威机构选择$u$，个体选择$h$，到验证签名和计算新签名的过程。它清晰地呈现了协议的执行顺序和关键决策点，有助于理解整个协议的工作流程。

5. 协议2的特殊情况分析

考虑一个特殊情况，设$a$、$b$、$c$为固定值，且$a$、$b$、$c$的分母与$\varphi(N)$互质。分析签名权威机构Z和个体A之间的协议3（如图4所示）。在协议3中，A从Z接收RSA签名$u^{a + xb} \pmod{N}$，并可以进行验证。需要注意的是，A通常无法自行计算随机选择的剩余类$u$的该签名，因为一般情况下$a + xb \in \mathbb{Q} \setminus \mathbb{Z}$。

以下引理说明了在协议执行后，A能够计算$u^c$的条件：

引理2：A可以在协议3中以多项式时间选择$x$，使得在协议执行后能够计算$u^c$的充要条件是$\gcd(1, a, b) \mid c$。

为了证明这个引理，我们需要使用以下两个引理：

引理3：设$a$、$b$、$c \in \mathbb{Q}$，$c \neq 0$，则存在一个整数$\lambda$，使得$\gcd(a + \lambda b, c) = \gcd(a, b, c)$，并且这个$\lambda$可以在关于$\text{length}(a, b, c)$的多项式时间内计算得到。

证明：定义$\tilde{a} = \frac{a}{\gcd(a, b, c)}$，$\tilde{b} = \frac{b}{\gcd(a, b, c)}$，$\tilde{c} = \frac{c}{\gcd(a, b, c)}$，则$\tilde{a}$、$\tilde{b}$、$\tilde{c}$为整数且$\gcd(\tilde{a}, \tilde{b}, \tilde{c}) = 1$。只需证明可以在多项式时间内计算出满足$\gcd(\tilde{a} + \lambda \tilde{b}, \tilde{c}) = 1$的$\lambda$。

对于每个质数$p$和非零整数$a$，设$\text{ord}_p(a)$为使得$a \cdot p^{-\text{ord}_p(a)}$为不被$p$整除的整数的整数。取$\lambda \in \mathbb{Z}$满足$\gcd(\tilde{a} + \lambda \tilde{b}, \tilde{c}) = 1$。设$p$为整除$\tilde{c}$的质数，若$p \mid \tilde{b}$，则$p \nmid \tilde{a}$（由$\gcd(\tilde{a}, \tilde{b}, \tilde{c}) = 1$）且$p \nmid (\tilde{a} + \lambda \tilde{b})$；若$p \nmid \tilde{b}$，则$p \mid \lambda$（由$\lambda$的定义和$\text{ord}_p(\tilde{a}) \geq 1$），因此$p \mid (\tilde{a} + \lambda \tilde{b})$。

我们得出没有质数同时整除$\tilde{c}$和$(\tilde{a} + \lambda \tilde{b})$，所以$\gcd(\tilde{a} + \lambda \tilde{b}, \tilde{c}) = 1$。定义序列$c_0 := |\tilde{a}|$，$c_{i + 1} := c_i / \gcd(\tilde{b}, c_i)$，$i = 0, 1, 2, \ldots$。设$i_0$为使得$\gcd(\tilde{b}, c_{i_0}) = 1$的最小整数。容易看出$c_{i_0} = \tilde{a}$且$i_0$是有界的，因此$\lambda$可以在多项式时间内计算得到。

引理4：设$a$、$b$、$c \in \mathbb{Q}$，则存在$x$、$y$、$z \in \mathbb{Z}$使得$c = (a + xb)y + z$的充要条件是$\gcd(1, a, b) \mid c$。此外，如果这样的$x$、$y$、$z \in \mathbb{Z}$存在，则可以在关于$\text{length}(a, b, c)$的多项式时间内计算得到。

证明：注意到$a$、$b$、$1$是$\gcd(1, a, b)$的整数倍。因此，如果存在$x$、$y$、$z \in \mathbb{Z}$使得$c = (a + xb)y + z$，则$c$也是$\gcd(1, a, b)$的整数倍，即$\gcd(1, a, b) \mid c$。

反之，假设$\gcd(1, a, b) \mid c$。根据引理3，可以在多项式时间内计算出一个$x \in \mathbb{Z}$，使得$\gcd(a + xb, 1) = \gcd(1, a, b)$。进一步，可以在多项式时间内计算出$y$、$z \in \mathbb{Z}$，使得$c = (a + xb)y + z$（例如，设$d \in \mathbb{N}$使得$da$、$db$、$dc \in \mathbb{Z}$，利用$\gcd(a + xb, 1) \mid c$和欧几里得算法计算$y$、$z \in \mathbb{Z}$，使得$dc = (da + xdb)y + dz$）。

引理2的证明：
- （i）假设$\gcd(1, a, b) \mid c$。根据引理4，A可以在多项式时间内计算出$x$、$y$、$z \in \mathbb{Z}$，使得$c = (a + xb)y + z$。A在协议2的执行过程中使用得到的$x$。之后，A可以从$(N, a, b, c, u, u^{a + xb})$计算$u^c$如下：$(u^{a + xb})^y \cdot u^z \equiv u^c \pmod{N}$。
- （ii）假设A可以在协议2中选择$x$，使得在协议执行后能够计算$u^c$。根据[EvH92]的推论，对于均匀选择的$u \in \mathbb{Z}_N^*$，A能够计算$u^c$的充要条件是$c \in \mathbb{Z}{1, a + xb}$，即存在$y$、$z \in \mathbb{Z}$使得$c = (a + xb)y + z$。

综上所述，通过对基于RSA系统的交互式协议的研究，我们深入探讨了个体如何利用从签名权威机构获取的签名计算新签名的问题。从一般协议的分析到特殊情况的研究，逐步揭示了问题的本质和解决方法。虽然目前仍有一些问题尚未完全解决，但这些研究为密码学中交互式协议的安全性分析提供了重要的理论基础和方法。未来的研究可以进一步拓展到更复杂的协议和更广泛的应用场景，以提高密码系统的安全性和可靠性。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(选择x):::process
    B --> C(选择u随机):::process
    C --> D(h := u^x):::process
    D --> E(验证签名):::process
    E --> F{签名是否有效}:::decision
    F -->|是| G(计算s1 = u^a h^b):::process
    F -->|否| D
    G --> H(想要计算u^c):::process
    H --> I{是否满足gcd(1, a, b) | c}:::decision
    I -->|是| J(计算x, y, z使得c = (a + xb)y + z):::process
    I -->|否| K(无法计算u^c):::process
    J --> L(计算u^c = (u^{a + xb})^y * u^z):::process
    L --> M([结束]):::startend
    K --> M

这个流程图展示了协议3的详细过程，从个体选择$x$，签名权威机构选择$u$，到计算签名、验证签名以及判断是否能够计算$u^c$的整个流程。它清晰地呈现了协议执行过程中的各个步骤和关键决策点，有助于更深入地理解协议的工作机制和条件。

特定交互协议中RSA签名的计算研究

6. 协议4的分析与拓展

接下来分析协议4（如图5所示），在这个协议中，签名权威机构Z和个体A之间的交互更加复杂。个体A需要选择$x$和$y$，签名权威机构Z选择$u$和$h$，并计算签名$s := u^a h^b (u^{a’ + xb’})^y$。个体A的目标依然是计算$u^c$。

从协议的流程来看，个体A在选择$x$和$y$时，需要综合考虑签名权威机构给出的参数以及自身的目标。这个过程可以看作是一个在给定约束条件下的优化问题。

我们可以将协议4的流程总结如下：
1. 个体A发送“我想开始”的请求。
2. 签名权威机构Z选择$u \in_R \mathbb{Z}_N^*$和$h \in u^v y$。
3. 个体A选择$x$和$y$。
4. 签名权威机构Z验证签名$s := u^a h^b (u^{a’ + xb’})^y$。
5. 个体A尝试计算$u^c$。

步骤	操作主体	操作内容
1	个体A	发送开始请求
2	签名权威机构Z	选择$u$和$h$
3	个体A	选择$x$和$y$
4	签名权威机构Z	验证签名
5	个体A	计算$u^c$

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(个体A发送开始请求):::process
    B --> C(签名权威机构Z选择u和h):::process
    C --> D(个体A选择x和y):::process
    D --> E(签名权威机构Z验证签名):::process
    E --> F{签名是否有效}:::decision
    F -->|是| G(个体A尝试计算u^c):::process
    F -->|否| D
    G --> H([结束]):::startend

这个流程图清晰地展示了协议4的执行过程，从请求开始到最终尝试计算$u^c$的整个流程。它明确了每个步骤的执行主体和关键决策点，有助于理解协议的工作机制。

7. 对整体研究的总结与展望

通过对基于RSA系统的一系列交互式协议的研究，我们从最初的一般协议分析，逐步深入到特殊情况的探讨，再到更复杂协议的研究，取得了一系列有价值的成果。

在研究过程中，我们提出了多个问题，并针对部分问题给出了相应的解决方案。例如，对于问题1，我们在特殊情况下找到了可行的M - 策略；对于问题2，虽然在一般情况下尚未完全解决，但在特殊情况（如$k = l = m = n = 1$）下得到了有效的解决方法。

这些研究成果对于密码学中交互式协议的安全性分析具有重要意义。在实际应用中，如凭证系统和支付系统，这些协议的安全性直接关系到用户的利益和系统的可靠性。通过深入研究这些协议，我们可以更好地设计和优化系统，提高系统的安全性。

然而，目前的研究还存在一些不足之处。例如，对于问题2的一般情况，我们还没有找到有效的多项式时间算法。未来的研究可以从以下几个方面展开：
1. 算法优化 ：继续探索问题2在一般情况下的解决方案，寻找更高效的多项式时间算法。
2. 协议拓展 ：研究更复杂的交互式协议，考虑更多的因素和约束条件，以适应实际应用中的多样化需求。
3. 安全性分析 ：对现有的协议和算法进行更深入的安全性分析，评估其在不同攻击场景下的鲁棒性。
4. 应用研究 ：将研究成果应用到实际的密码系统中，验证其有效性和实用性，并根据实际应用反馈进行进一步的改进。

总之，基于RSA系统的交互式协议的研究是一个具有挑战性和重要意义的领域。通过不断的研究和探索，我们有望提高密码系统的安全性和可靠性，为信息安全领域做出更大的贡献。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([当前研究]):::startend --> B(算法优化):::process
    A --> C(协议拓展):::process
    A --> D(安全性分析):::process
    A --> E(应用研究):::process
    B --> F([未来研究成果]):::startend
    C --> F
    D --> F
    E --> F

这个流程图展示了未来研究的方向和目标。从当前研究出发，通过算法优化、协议拓展、安全性分析和应用研究等方面的努力，有望取得更有价值的未来研究成果。它为我们指明了后续研究的方向和重点。