1 范围

      GB/T 15851的本部分规定了五种带消息恢复功能的数字签名方案。这些方案的安全性是基于定义在有限域或有限域上的椭圆曲线的离散对数问题的难度。

      本部分也定义了在杂凑权标里的一个可选控制字段，其能够增强签名的安全性。

      本部分规定了随机机制。

      在本部分中规定的机制能够完全或者部分恢复消息。

      注：带附录的基于离散对数的数字签名方案参见ISO/IEC 14888-3。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      ISO/IEC 10118（所有部分）信息技术 安全技术 散列函数（Information technology-Securitytechniques-Hash-functions)

      ISO/IEC 15946-1 信息技术 安全技术 基于椭圆曲线的密码技术 第1部分：总则(Information technology-Security techniques-Cryptographic techniques based on elliptic curves-Part 1: General)

      ISO/IEC 15946-5 信息技术 安全技术 基于椭圆曲线的密码技术 第5部分：椭圆曲线生成(Information technology-Security techniques-Cryptographic techniques based on elliptic curves-Part 5: Elliptic curve generation)

3 术语和定义

      下列术语和定义适用于本文件。

3.1

      数据输入 data input

      取决于完整消息或部分消息的八位位组串，其组成了签名生成过程的一部分输人。

3.2

      域参数 domain parameter

      常见且已知的或者可以被域中所有实体访问的数据项。

      [ISO/IEC 14888-1:1998]

      注：域参数集合可以包括数据项，诸如杂凑函数标识、杂凑权标的长度、消息中可恢复部分的最大长度、有限域参数、椭圆曲线参数或者其他能够表明域的安全策略的参数。

3.3

      椭圆曲线 elliptic curve

      椭圆曲线点 P=(x,y)与所定义的无穷远点。构成椭圆曲线点集合，其中x，y是给定有限域上的域元素，其满足给定的非奇异、三次方椭圆曲线方程。

      [ISO/IEC 15946-1:2002]

      注：给定有限域上的椭圆曲线的数学定义，参见附录A中A.4。

3.4

      显式给定有限域 explicitly given finite field

      ［0，p-1］上的e元组集合，其中p为素数，e≥1，并能计算出乘法表。

      注1：给定有限域上的数学定义，参见A.3。

      注2：有限域的更多细节参见ISO/IEC 15946-1：2002．

3.5

      杂凑码 hash-code

      杂凑函数输出的八位位组串。

      注：改编自ISO/IEC 10118-1：2000。

3.6

      杂凑函数 hash-function

      将八位位组字符串映射为固定长度的八位位组字符串的函数，该函数满足下列两特性：

      ——对于给定输出，找出映射为该输出的输人，在计算上是不可行的；

      ——对于给定输入，找出映射为同一输出的第二个输入，在计算上是不行的。

      注1：改编自 ISO/IEC 10118-1:2000．

      注2：计算上的可行性取决于特定安全要求和环境。

      注3：为了达到本部分的目的，ISO/IEC 10118-2和ISO/IEC 10118-3中描述的杂凑函数具有如下限制：在ISO/IEC 10118中描述的杂凑函数将比特串映射成比特串，而在本部分里，杂凑函数将八位位组串映射成八位位组串。因此在本部分中使用的杂凑函数输出长度在比特上只能是8的倍数，八位位组串和比特串之间的映射受到OS2BSP和BS2OSP的影响。

3.7

      杂凑权标 hash-token

      一个杂凑码与一个可选的控制字段拼接而成的消息，该控制字段可用于标识所指杂凑函数和填充方法。

      [ISO/IEC 14888-1:1998]

      注：除非杂凑函数是由签名机制或由域参数唯一确定的，否则可给出带有杂凑函数标识符的控制字段。

3.8

      消息 message

      任意有限长度的八位位组串。

3.9

      参数生成过程 parameter generation process

      给出输出域参数和用户密钥的过程。

3.10

      预签名 pre-signature

      用于签名生成过程计算的八位位组串，此八位位组串是对随机数发生器生成的随机数进行运算的结果，与消息无关。

3.11

      私有签名密钥 private signature key

      一种特定于某一实体的秘密数据项，在签名生成过程中只能由该实体使用。

3.12

      公开验证密钥 public verification key

      一种数据项，在数学上与私有签名密钥相对应，可为所有实体所知，并由验证方在签名验证过程中使用。

3.13

      随机的 randomized

      随机的程度取决于随机数发生器。

3.14

      随机数发生器 randomizer

      在预签名生成过程中由签名实体生成的秘密整数，其不被其他实体所知。

      注：改编自 ISO/IEC 14888-1：1998。

3.15

      签名 signature

      签名生成过程生成的一个八位位组串和整数对。用于提供鉴别。

      注：改编自 ISO/IEC 14888-1：1998。

3.16

      签名生成过程 signature generation process

      输入消息、签名密钥和域参数，输出签名的过程。

      注：改编自 ISO/IEC 14888-1:1998．

3.17

      签名验证过程 signature verification process

      其输入为已签署的消息、验证密钥和域参数，其输出为恢复后的消息（如果有效）的过程。

      注：改编自ISO/IEC 14888-1验证过程的定义。

3.18

      已签消息 signed message

      一组由签名中不能恢复的消息部分、签名以及可选的文本字段等数据项组成的集合。

      [ISO/IEC 14888-1:1998]

3.19

      用户密钥 user keys

      一组私有签名密钥和公开验证密钥的数据项。

4 缩略语和符号、约定

4.1 缩略语和符号

      下列缩略语和符号适用于本文件。

      A 实体，通常是签名方

      B 实体，通常是验证方

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 15851.3-2018 信息技术 安全技术 带消息恢复的数字签名方案 第3部分：基于离散对数的机制》