鄭曉，王茜，魯龍

（西華大學(xué)計(jì)算機(jī)與軟件工程學(xué)院，成都　610039）

一種基于格的高效簽密方案的分析與設(shè)計(jì)

鄭曉，王茜，魯龍

（西華大學(xué)計(jì)算機(jī)與軟件工程學(xué)院，成都610039）

0　引言

保密性、完整性、認(rèn)證和不可抵賴性是許多加密應(yīng)用程序的重要要求，如果需要同時(shí)實(shí)現(xiàn)這些性質(zhì)，傳統(tǒng)方法是對(duì)文件先簽名后加密，1997年Zheng［1］提出一種新的加密原語(yǔ)稱為簽密，同時(shí)滿足數(shù)字簽名和秘鑰加密兩種功能，成本低于傳統(tǒng)的先簽名后加密的方法。此后，這種簽密體制被廣泛應(yīng)用于許多應(yīng)用領(lǐng)域，如電子商務(wù)、移動(dòng)通信和智能卡等。Zheng給出基于離散對(duì)數(shù)問(wèn)題的兩個(gè)簽密方案，他留下一個(gè)通過(guò)使用任何公鑰密碼體制，設(shè)計(jì)其他簽密方案 （如Rivest-Shamir-Adleman RSA［2］）的開(kāi)放問(wèn)題，Steinfeld-Zheng［3］和Malone-Lee［4］分別用整數(shù)分解和RSA提出簽密方案，后來(lái)基于身份的簽密用雙線性對(duì)也被提出［5～7］。近年來(lái)格密碼迅速發(fā)展，相比基于平均情況下依賴于離散對(duì)數(shù)和因式分解的其他密碼原語(yǔ)，格基密碼的安全性是基于最壞情況下格問(wèn)題困難性的特點(diǎn)，本文提出的方案在學(xué)習(xí)錯(cuò)誤（LWE）假設(shè)下，對(duì)自適應(yīng)性選擇密文攻擊具有不可區(qū)分性（IND-CCA2），在非齊次小整數(shù)解（ISIS）假設(shè)下對(duì)自適應(yīng)選擇消息攻擊具有強(qiáng)不可偽造性（sUF-CMA）。

1　預(yù)備知識(shí)

1.1符號(hào)說(shuō)明

本文中，R表示實(shí)數(shù)集，Z表示整數(shù)集，［n］表示｛1，2，…｝，通過(guò)定義f（A）=∑x∈Af（x）把實(shí)函數(shù)f（·）擴(kuò)展到可數(shù)集A上。用加粗的小寫(xiě)字母表示列向量，例如x，x的第i個(gè)元素表示成xi，矩陣用加粗的大寫(xiě)字母表示，例如X，X的第i列向量表示成Xi，向量x的長(zhǎng)度用歐幾里得范數(shù)||x||表示，||x||=maxi||xi||。一個(gè)n維格表示成｝是線性獨(dú)立向量，B是格基，∧的對(duì)偶格定義成∧*=｛x∈Rn: ?y∈∧＜x，y＞∈Z｝，由對(duì)稱性，可看到（∧*）*=∧，B*=（B-1）T，所以B*是∧*的一個(gè)基。對(duì)于任意包含k個(gè)線性獨(dú)立向量的集合s=｛s1，…，sn｝∈Rn，代表它的格萊姆-施密特正交向量，即=s1對(duì)每一個(gè)i=2，…n是si的投影，該投影與span（s，…，s）正交，并且‖‖≤‖s‖。

不難得出：∧⊥（A）=q·∧（A）*∧（A）=q·∧⊥（A）*。

格上的高斯分布：對(duì)于任意s＞0，定義以向量c為中心，s為參數(shù)的高斯分布為：?x∈Rnρs，c（x）=exp（-π

格上離散高斯分布：

本方案的安全性依賴于LWE和ISIS問(wèn)題的困難性，為找出這些困難問(wèn)題，我們需要一些概率分布。

定義兩個(gè)分布：

Ψα定義為以0為正態(tài)隨機(jī)變量均值，標(biāo)準(zhǔn)偏差為在T上模1的分布。定義為以模q為隨機(jī)變量在Zq上的離散正態(tài)分布，其中X是在Ψα分布中的一個(gè)隨機(jī)變量。

1.2格上的定義

定義1 LWE判定目標(biāo)問(wèn)題LWEq，x：給一整數(shù)q和一個(gè)在Z上的分布χ，LWE判定問(wèn)題的目標(biāo)是：上的As，x分布與上的均勻分布之間用不可忽略的概率加以區(qū)分。說(shuō)明如果LWE問(wèn)題是困難的，那么As，x的分布集合是偽隨機(jī)的。

定義2 標(biāo)準(zhǔn)的LWE問(wèn)題：從分布As，x中采樣，找到。

命題1［8］表明：對(duì)某些模q和高斯錯(cuò)誤分布χ，用量子算法解決幾個(gè)最壞情況下的標(biāo)準(zhǔn)格問(wèn)題和LWEq，x問(wèn)題是一樣難的。

命題1給α=α（n）∈（0，1），q=q（n）是一素?cái)?shù)，使得，如果存在一個(gè)解決的有效算法，那么存在一接近最短獨(dú)立向量問(wèn)題SIVP和判定性的最短距離（GapSVP）問(wèn)題有效量子算法。

1.3前向采樣函數(shù)

2008年，Gentry，Peikert和Vaikuntan-athan［9］定義并創(chuàng)造了前向采樣函數(shù)，這里僅給出前向采樣函數(shù)的結(jié)構(gòu)，參考文獻(xiàn)［9］前向采樣函數(shù)的定義，函數(shù)用下面的結(jié)果給出［10］。

命題2 給定任意素?cái)?shù)q=poly（n）和任意m≥5nl-gq，存在一個(gè)概率多項(xiàng)式算法，輸入1n，輸出矩陣A∈和一個(gè)滿秩的集合s?∧⊥（A，q），A在上是統(tǒng)計(jì)均勻的，并且‖s‖≤L=m2.5。特別地，集合s能被有效地轉(zhuǎn)化為∧⊥（A）的一個(gè)短基T，使得‖‖≤‖‖≤L。

SampleDom（A，s）：B是Zm的標(biāo)準(zhǔn)基，這個(gè)算法用在文獻(xiàn)［9］中定義的算法SampleD（B，s，0）從分布中采樣，SampleD（B，s，c）以格基B，參數(shù)s，c∈Rm作為輸入，輸出一個(gè)統(tǒng)計(jì)接近于D∧，s，c的采樣。

SamplePre（T，u）：這個(gè)算法以u(píng)∈Rn，陷門(mén)T作為輸入，輸出和SampleDom算法中一樣的分布e∈Dn，使得Ae=u mod q。

這個(gè)函數(shù)是無(wú)陷門(mén)的單向抗碰撞函數(shù)，參考文獻(xiàn)［9］表明在均勻輸出u∈Rn的fA逆函數(shù)，等價(jià)于解決ISIS問(wèn)題。

1.4GPV簽名方案

H:｛0，1｝*→Rn是一哈希函數(shù)，GPV簽名方案包含下面三個(gè)算法：

KeyGen（1n）：這個(gè)算法運(yùn)行TrapGen（1n），輸出公鑰A，私鑰T。

Sign（T，m）：給一個(gè)消息m簽名，簽名者隨機(jī)選一個(gè)r←｛0，1｝k，計(jì)算δ=SamplePre（T，H（m，r）），m的簽名是（r，δ）。

Verify（A，m，（r，δ））：給出m的簽名（r，δ），當(dāng)且僅當(dāng)如果r∈｛0，1｝k，δ∈Dn，fA（β）=H（m，r），驗(yàn)證者接收這個(gè)簽名。

2　簽密的正式模型

2.1一般簽密方案

一般簽密方案包含以下三個(gè)算法：

密鑰生成算法KeyGen（1n）：以安全參數(shù)n作為輸入，輸出發(fā)送者的密鑰對(duì) （pks，sks），接收者的密鑰對(duì)（pkr，skr）。

簽密算法Signcrypt（m，sks，pkr）：給出消息m，發(fā)送者私鑰sks，接收者公鑰pkr，該算法輸出密文σ。

解簽密算法Unsigncrypt（σ，pks，skr）：給一密文σ，發(fā)送者公鑰pks，接收者私鑰skr，該算法要么輸出明文m，要么輸出⊥。這些算法必須滿足簽密的標(biāo)準(zhǔn)一致性約束，即，如果σ=Signcrypt（m，sks，pkr），那么有m=Unsigncrypt（σ，pks，skr）。

2.2安全性表述

簽密方案應(yīng)滿足保密性與認(rèn)證性，及與之相對(duì)應(yīng)的能抵抗適應(yīng)性選擇密文攻擊的不可區(qū)分性 （INDCCA2）和適應(yīng)性選擇消息攻擊的不可偽造性 （EUFCMA）。我們認(rèn)為強(qiáng)不可偽造性（sUF）比現(xiàn)存不可偽造性更強(qiáng)。

用挑戰(zhàn)者C與敵手A之間的游戲來(lái)說(shuō)明IINDCCA2安全：

Initial：C運(yùn)行密鑰生成算法生成接收者密鑰對(duì)（pkr*，skr*），C把pkr*傳給A，skr*保密。

Phase 1：在解簽密詢問(wèn)中，A把由發(fā)送者密鑰（pks，sks）生成的密文σ發(fā)送給C，C運(yùn)行解簽密預(yù)言機(jī)并返回m=Unsigncrypt（σ，pks，skr*）。

Challenge：A選兩等長(zhǎng)r消息 m0，m1，把它們及（pks*，sks*）發(fā)送給C，C隨機(jī)從｛0，1｝中選b位，運(yùn)行簽密預(yù)言機(jī)并返回密文σ*=Signcrypt（mb，sks*，pkr*），C把σ*發(fā)送給A作為一挑戰(zhàn)密文。

Phase 2：A能用不同發(fā)送者的密鑰對(duì)挑戰(zhàn)密文σ*做一次解簽密查詢。

Guess：A產(chǎn)生一位b'，如果b'=b，贏得游戲。

定義5如果沒(méi)有概率t多項(xiàng)式時(shí)間，至多qu次解簽密詢問(wèn)后，敵手A至少有l(wèi)sc優(yōu)勢(shì)，那么簽密方案是（lsc，t，qu）-IND-CCA2。

用挑戰(zhàn)者C和敵手F之間的游戲來(lái)說(shuō)明sUF-CMA安全：

Initial：C運(yùn)行密鑰生成算法產(chǎn)生發(fā)送者密鑰對(duì)（pks*，sks*），C把pks*發(fā)送給F，sks*保密。

Attack：在簽名詢問(wèn)中，F(xiàn)把m，（pkr，skr）發(fā)送給C，C運(yùn)行簽密預(yù)言機(jī)并返回 σ=signcrypt（m，sks*，pkr），C 把σ發(fā)送給F。

Forgery：F選一個(gè)接收者密鑰對(duì)（pkr*，skr*）并產(chǎn)生一新密文σ*（σ*不是由簽密預(yù)言機(jī)產(chǎn)生的），如果σ*是有效密文，F(xiàn)贏得游戲。

定義6如果沒(méi)有概率t多項(xiàng)式時(shí)間，至多qs次簽密詢問(wèn)后，敵手F至多有l(wèi)sc優(yōu)勢(shì)，那么簽密方案是（lsc，t，qs）-sUF-CMA。

3　格基簽密方案

我們提出一個(gè)格基簽密方案是基于GPV簽名方案的［9］，定義兩個(gè)哈希函數(shù)：H1:｛0，1｝*→Rn，H2:｛0，1｝*→｛0，1｝l，l是消息的長(zhǎng)度。我們方案包含下面三個(gè)算法：

KeyGen（1n）：該算法運(yùn)行TrapGen（1n），產(chǎn)生發(fā)送者的公私鑰 （pks，sks）=（As，Ts），和接收者的公私鑰（pkr，skr）=（Ar，Tr）。

Signcrypt（m，sks，pkr）：把一個(gè)消息發(fā)送給接收者，發(fā)送者運(yùn)行以下步驟：

①r←｛0，1｝*；

②計(jì)算δ=SamplePre（Ts，H1（m，r））；

③s∈Znq；

④計(jì)算c=m⊕H2（s，δ）；

⑤計(jì)算u=ATrs+δ，密文是σ=（c，r，u）。

Unsigncrypt（σ，pks，skr）：當(dāng)收到一個(gè)密文σ=（c，r，u）后，接收者運(yùn)行以下算法：

①用接收者的私鑰Tr從u中計(jì)算出s，δ，

②恢復(fù)m=c⊕H2（s，δ）

③當(dāng)且僅當(dāng)r∈｛0，1｝k，δ∈Dn，fAs（δ）=H1（m，r）都滿足時(shí)接收此密文。

因?yàn)椋ˋr，u=ATrs+δ）是一短向量δ的LWE實(shí)例，計(jì)算：

TTuu mod q=TTr（ATr+δ）mod q=（ArTr）Ts+TTrs mod q= TTrδ mod q。

因?yàn)門(mén)r和δ僅包含小項(xiàng)目，向量TTrδ的每一項(xiàng)遠(yuǎn)小于q，因此TTδ mod q=TTrδ所以用（TTr）-1乘 TTrδ得到δ，然后恢復(fù)出s。在這個(gè)方案中，簽名δ被用作u=ATrs+δ的錯(cuò)誤項(xiàng)，這個(gè)技術(shù)是被Gordon，Katz，and Vaikuntanathan［11］創(chuàng)建群簽名提出的。

4　方案的安全性證明

定理1在隨機(jī)預(yù)言機(jī)模型中，如果敵手A在時(shí)間t，qu次解簽密詢問(wèn)和qHi次詢問(wèn)預(yù)言機(jī)Hi（i=1，2）后，以不可忽略優(yōu)勢(shì)lsc對(duì)抗IND-CCA2安全，那么存在一算法C能在時(shí)間t'＜t+（qu+qH）tlwe+qutsig內(nèi)，以e'≥esc-2的概率解決LWE問(wèn)題。其中t表示決定（A，u，lwes，δ）是有效LWE實(shí)例所需時(shí)間，tsig表示決定fAs（δ）=H1（m，r）成立所需時(shí)間。

證明：反證法：假設(shè)存在一個(gè)用不可忽略的概率lsc贏得IND-CCA2游戲的敵手A，創(chuàng)建一個(gè)能用概率e'解決LWE問(wèn)題的算法C，假設(shè)C是一個(gè)LWE問(wèn)題的m實(shí)例C在IND-CCA2游戲中，敵手A作為一子程序運(yùn)行，找出s的解來(lái)充當(dāng)敵手A的挑戰(zhàn)者。

Phase 1敵手A執(zhí)行H1，H2的多項(xiàng)式界定數(shù)，并且以自適應(yīng)的方式解簽密詢問(wèn)，C分別保留兩個(gè)模擬哈希預(yù)言機(jī)H1和H2的兩個(gè)表L1和L2。

H1詢問(wèn)：對(duì)于H1（mi，ri）詢問(wèn)（1≤i≤qH1），C首先驗(yàn)證H1的值是否是之前為（mi，ri）輸入定義的值，如果它是，則返回先前定義的值，否則，C隨機(jī)選擇h1i∈Rn，把（mi，ri，h1i）插入表L1，返回h1i到A。

H2詢問(wèn)：對(duì)于H2（si，δi）詢問(wèn)（1≤i≤qH2），C首先驗(yàn)證H2的值是否是之前為（si，δi）輸入定義的值，如果是，返回先前定義的值，否則C隨機(jī)選擇h2i←｛0，1｝l，把（si，δi，h2i）插入表L2，返回h2i到A。

解簽密詢問(wèn)：如果敵手A發(fā)送一個(gè)由發(fā)送者公私鑰（pks，sks）生成的密文（c，r，u）給一個(gè)解簽密詢問(wèn)，C進(jìn)行如下：C瀏覽表L2，找（si，δi，h2i），使得u=ATsi+δi以及與之相對(duì)應(yīng)的元素h2i，mi=c⊕h2i使得在表L1中存在一元組（mi，r，hli），如果找不到元組，輸出⊥，C進(jìn)一步驗(yàn)證是否fpk（δi）=hli成立，如果成立，mi返回到A，否則，s返回⊥。

Challenge：phase1階段后，A選兩個(gè)等長(zhǎng)密文m0，m1，把它們以及發(fā)送者公私鑰（pks*，sks*）發(fā)送給C，C隨機(jī)選兩位串r*←｛0，1｝k，c*←｛0，1｝l，讓u*=，C發(fā)送挑戰(zhàn)密文σ*=（c*，r*，u*）給A。

Phase 2：A用不同發(fā)送者的公私鑰對(duì)挑戰(zhàn)密文σ*做解簽密詢問(wèn)，除非A請(qǐng)求的哈希值，不然它不知道σ*不是一個(gè)有效簽密，在那種情況下，LWE的解恰在表L2中，敵手A的模擬觀點(diǎn)是否完美不再重要。

Guess：A產(chǎn)生一結(jié)果b'，C檢查（si，δi，h2i）形式的表L2，C驗(yàn)證是否成立，若成立C輸出LWE解 si，否則C輸出⊥。

我們現(xiàn)在能確定C成功的概率，讓AskH2成為A在模擬期間訪問(wèn)哈希值的事件，有

lsc=|2Pr［b=b'］-1|≤Pr［AskH2］。對(duì)（si，δi，h2i）在表L2中每一元組恰有一h1i在預(yù)言機(jī)H1范圍內(nèi)提供一有效密文，所以有

定理2在隨機(jī)預(yù)言機(jī)模型中，如果敵手F在時(shí)間t內(nèi)，進(jìn)行qs次簽密詢問(wèn)和qHi次對(duì)預(yù)言機(jī)Hi（i=1，2）詢問(wèn)，以不可忽略的優(yōu)勢(shì)lsc對(duì)之前方案的sUF-CMA安全，那么存在算法C在時(shí)間t'=t內(nèi)以概率e'≥esc抵抗GPV簽名方案的sUF-CMA安全。

證明：反證法：如果敵手A在上面的方案中能偽造一個(gè)簽名，那么在GPV簽名方案中可以偽造一個(gè)簽名算法A。

Initial：C給出被攻擊簽名者的公鑰A，讓pks*=A，發(fā)送pkr*給F。

Attack：F運(yùn)行H1、H2多項(xiàng)式界定數(shù)，以自適應(yīng)方式簽密詢問(wèn)C保留兩個(gè)模擬預(yù)言機(jī)H1、H2的表L1、L2：

H1詢問(wèn)：對(duì)于H1（mi，ri）詢問(wèn)（1≤i≤qH），C首先驗(yàn)

1證H1的值是否是之前定義的（mi，ri）輸入的值，若是，則返回之前定義的值，否則，C設(shè)置δi=SampleDom（1n）把（mi，ri，δi，fA（δi））放到L1表，返回fA（δi）到A。

H2詢問(wèn)：對(duì)于H2（si，δi）詢問(wèn)（1≤i≤qH2），C首先驗(yàn)證H2的值是否是之前定義的（si，δi）輸入的值，若是，則返回之前定義的值，否則，C隨機(jī)選擇h2i←｛0，1｝l，把（si，δi，h2i）放到L2表，返回h2i到A。

簽密詢問(wèn)：如果F對(duì)一個(gè)由接收者公私鑰（pkr，skr）生成的消息m進(jìn)行簽密詢問(wèn)，C用自己的簽名預(yù)言機(jī)對(duì)消息m做簽名詢問(wèn)得到 （r，δ），然后C把（m，r，δ，fA（δ））放到表L1，最后，C隨機(jī)選s∈Zn，計(jì)算c=m⊕H2（s，δ），u=pkTrs+δ，（c，r，u）返回到A。

Forgery:

①?gòu)膗*中用接收者私鑰skr*計(jì)算s*，δ*。

②恢復(fù)m*=c*⊕H2（s*，δ*）。

③在GPV簽名方案中，輸出（r*，δ*）作為m*的偽造簽名。下面證明正確性：因?yàn)棣?=（c*，r*，u*）是有效密文，有fA（δ*）=H1（m*，r*），因此，（r*，δ*）是m*的有效簽名，因?yàn)樵陔S機(jī)語(yǔ)言模型下，GPV簽名方案是sUF-CMA安全的，所以我們的方案在隨機(jī)預(yù)言機(jī)模型下也是sUFCMA的，因此有e'≥esc，t'=t。

5　結(jié)語(yǔ)

在這篇文章中，我們提出一個(gè)在隨機(jī)語(yǔ)言機(jī)模型下的有效的格基簽密方案，證實(shí)我們的方案在LWE假設(shè)下是IND-CCA2安全的，在ISIS假設(shè)下是sUF-CMA安全的，一次能發(fā)送消息長(zhǎng)度為L(zhǎng)，并且給出Zheng方案的開(kāi)放問(wèn)題一個(gè)新的解。

［1］Zheng Y.Digital Signcryption or How to Achieve Cost（Signature&Encryption）Cost（Signature）+Cost（Encryption）.In Proceedings Advances in Cryptology-CRYPTO'97，LNCS 1294.Springer-Verlag:Santa Barbara，California，USA，1997：165～179

［2］Rivest RL，Shamir A，Adlema L.A Method for Obtaining Digital Signatures and Public Key Cryptosystems.Communications of the ACM 1978，21（2）:120～126

［3］Steinfeld R，Zheng Y.A Signcryption Scheme Based on Integer Factorization.In Proceedings Information Security ISW 2000，LNCS 1975.Springer-Verlag:Wollongong，NSW，Australia，2000：308～322

［4］Malone-Lee J，Mao W.Two Birds One Stone:Signcryption Using，RSA.In Proceedings Topics in Cryptology-CT-RSA，2003，LNCS 2612.Springer-Verlag:San Francisco，CA，USA，2003：211～225

［5］Boyen X.Multipurpose Identity-Based Signcryption:a Swiss Army Knife for Identity-Based Cryptography.In Proceedings Advances in Cryptology-CRYPTO 2003，LNCS 2729.Springer-Verlag:Santa Barbara，California，USA，2003：383～399

［6］Chen L，Malone-Lee J.Improved Identity-Based Signcryption.In Proceedings Public Key Cryptography-PKC 2005，LNCS 3386. Springer-Verlag:Les Diablerets，Switzerland，2005：362～379

［7］Barreto PSLM，Libert B，McCullagh N，Quisquater J.J.Efficient and Provably-Secure Identity-Based Signatures and Signcryption from Bilinear Maps.In Proceedings Advances in Cryptology-ASIACRYPT，LNCS 3788，Springer-Verlag:Chennai，India，2005：512～523

［8］Regev O.On lattices，Learning with Errors，Random Linear Codes，and Cryptography.Journal of the ACM 2009，56（6），Article

［9］Regev O.on lattice，Learning with Errors，Random Linear Codes.and Cryptography.Journal of the ACM 2009，56（6）Article34

［10］Ajtai M.Generating Hard Instances of the Short Basis Problem.In Proceedings Automata，Languages and Programming-ICALP 1999，LNCS 1644.Springer-Verlag:Prague，Czech Republic，1999：1～9

［11］Gordon SD，Katz J，Vaikuntanathan V.A Group Signature Scheme from Lattice Assumptions.In Proceedings Advances in Cryptology-ASIACRYPT 2010，LNCS 6477.Springer-Verlag:Singapore，2010：395～412

Lattice；Random Oracle；Signcryption

Analysis and Design of an Efficient Lattice-Based Signcryption Scheme

ZHENG Xiao，WANG Qian，LU Long
（Institute of Computer Software Engineering,Xihua University，Chengdu 610039）

1007-1423（2015）08-0003-05

10.3969/j.issn.1007-1423.2015.08.001

鄭曉（1984-），女，山東德州人，碩士研究生，研究方向?yàn)橛?jì)算機(jī)技術(shù)

王茜（1990-），女，湖北宜昌人，碩士研究生，研究方向?yàn)橛?jì)算機(jī)技術(shù)

魯龍（1989-），男，山東臨沂人，碩士研究生，研究方向?yàn)橛?jì)算機(jī)軟件與理論

2015-01-29

2015-03-06

簽密是同時(shí)執(zhí)行數(shù)字簽名和公共密鑰加密兩種功能的一個(gè)加密原語(yǔ)，所需成本比通過(guò)傳統(tǒng)的先簽名后加密的方法低。設(shè)計(jì)一個(gè)一次發(fā)送長(zhǎng)度為L(zhǎng)消息的高效簽密方案。并證明，該方案在錯(cuò)誤學(xué)習(xí)假設(shè)下具有適應(yīng)性選擇密文攻擊不可區(qū)分性（IND-CCA2），在非均勻小整數(shù)解假設(shè)下具有適應(yīng)性選擇消息攻擊強(qiáng)不可偽造性（SUF-CMA）。與基于數(shù)論假設(shè)方案相比，該方案具有密鑰空間較大，但效率更高。

格；隨機(jī)預(yù)言機(jī)；簽密

Signcryption is a cryptographic primitive that performs simultaneously both the functions of digital signature and public-key encryption,at a cost significantly lower than that required by the traditional signature-then-encryption approach.Designs an efficient signcryption scheme that can send a message of length L one time.Proves that the proposed scheme has the indistinguishability against adaptive chosen ciphertext attacks under the learning with errors assumption and strong unforgeability against adaptive chosen messages attacks under the inhomogeneous small integer solution assumption inthe random oracle model.Compared with the schemes based on factoring or discrete log,the public and secret keys of the scheme are large,but it requires only linear operation on small integers.