一种可验证的门限RSA签名方案

一种可验证的门限ＲＳＡ签名方案

0引言

Shoup于2000年提出了一个门限RSA签名[3]，解决了上述问题，在Lagrange插值系数中乘以一个数，使得在一般整数环运算下，插值系数是一个整数。同年徐秋亮学者提出了一个改进的门限RSA数字签名体制[4]，也用到了类似的技术使插值系数是一个整数。随后王贵林等学者对Shoup 门限RSA签名作了改进[5]，使之能够用于门限不可否认签名。笔者对Shoup门限RSA签名方案作了改进，并且使用可验证秘密共享技术（Verifiable Secret Sharing，VSS）提出了一个可验证的门限RSA签名方案。

1预备知识

1．1Feldman可验证秘密共享

3可验证的门限RSA签名方案的分析

本方案的本质改进在于：①可以看到Shoup原方案产生的签名是一个标准的RSA签名；王的改进方案产生的是非标准的RSA签名；本文提出的方案产生的签名也是标准的。这是通过改进每个成员的子密钥实现的。②缩小插值系数为原来的1/n，提高了签名的速度。③为了方便地引入VSS，笔者改变了分发密钥的多项式系数。这样能够简单地把VSS引入本文的方案。④由于引入了VSS，密钥分发者的诚实性得

到了验证，保证了子密钥的正确性。下面具体分析改进方案。

（3）不可伪造性。在标准RSA签名方案是安全的假设下，该方案是不可伪造的。攻击者能在该方案中伪造签名当且仅当他能在Shoup方案中伪造签名。文献[3]中给出了Shoup方案的不可伪造性分析，本文方案的不可伪造性可以

仿此得到。

性能分析：注意在性能分析中为了进行方案间的比较，不讨论改进方案的VSS部分。事实上，VSS部分仅用于子密

钥分发步骤，不影响方案的签名和验签效率。与王的改进方案相比，本方案生成和验证签名的速度均明显快于王的方案。由门限签名的生成式(9)和插值系数(2)可以看出，本方案绑定签名时模幂运算的指数变为王的方案的1/n，模幂运算比

较耗时，指数变小提高了生成签名的速度。验证式(10)不需要计算模幂运算x4 mod N，提高了验签的速度，这在公钥指数e和4比较接近时效果尤为显著。如取e=3时，验签的速度能够提高一倍。在实际应用中，为了提高验签速度公钥指数e一般都取较小的值，所以该方案的改进是很有必要的。王的方案在性能上优于Shoup原方案，本方案在性能上也高于Shoup原方案。

本方案生成的签名是一个标准的RSA签名。在这一点上与Shoup的原方案是一样的，但王的方案产生的签名不是标准RSA签名，从而导致了验签也不是标准的。关于本文的方

案与Shoup方案的比较可以