This invention is a method and apparatus which provide a solution to the problem of constructing efficient and secure digital signature schemes. It presents a signature scheme that can be proven to be existentially unforgeable under a chosen message attack, assuming a variant of the RSA conjecture. This scheme is not based on "signature trees", but instead it uses a "hash-and-sign" paradigm, while maintaining provable security. The security proof is based on well-defined and reasonable assumptions made on the cryptographic hash function in use. In particular, it does not model this function as a random oracle. The signature scheme which is described in this invention is efficient. Further, it is "stateless", in the sense that the signer does not need to keep any state, other than the secret key, for the purpose of generating signatures.

Esta invención es un método y un aparato que proporcionan una solución al problema de construir esquemas digitales eficientes y seguros de la firma. Presenta un esquema de la firma que se pueda demostrar para ser existencialmente unforgeable bajo ataque elegido del mensaje, si se asume que una variante de la conjetura de RSA. Este esquema no se basa en los "árboles de la firma", sino que por el contrario utiliza un paradigma de la "picadillo-y-muestra", mientras que mantiene seguridad demostrable. La prueba de la seguridad se basa en las asunciones bien definidas y razonables hechas en la función criptográfica del picadillo en uso. En detalle, no modela esta función como oráculo al azar. El esquema de la firma que se describe en esta invención es eficiente. Además, es "apátrida", en el sentido que el firmante no necesita guardar ningún estado, con excepción de la llave secreta, con el fin de generar firmas.