周雁舟,張煥國(guó),李立新,宋 揚(yáng)

(1.武漢大學(xué)計(jì)算機(jī)學(xué)院,武漢 430072;2.信息工程大學(xué)電子技術(shù)學(xué)院,鄭州 450004;3.解放軍 65711部隊(duì),大連 116500)

基于l-MOMSDH假設(shè)的短群簽名DAA方案

周雁舟1,2,張煥國(guó)1,李立新2,宋 揚(yáng)3

(1.武漢大學(xué)計(jì)算機(jī)學(xué)院,武漢 430072;2.信息工程大學(xué)電子技術(shù)學(xué)院,鄭州 450004;3.解放軍 65711部隊(duì),大連 116500)

提出將標(biāo)準(zhǔn)模型下基于l-MOMSDH假設(shè)的短群簽名方案作用于DAA協(xié)議,該協(xié)議基于Fiat-Shamir啟發(fā)式設(shè)計(jì)思想,完成了協(xié)議知識(shí)簽名的數(shù)學(xué)構(gòu)造,實(shí)現(xiàn)了非交互式零知識(shí)證明到知識(shí)簽名的轉(zhuǎn)化.具有簽名長(zhǎng)度短、運(yùn)行效率高及標(biāo)準(zhǔn)模型下可證安全等特性,提高了現(xiàn)有協(xié)議的安全性,同時(shí)兼顧協(xié)議執(zhí)行效率.

可信計(jì)算平臺(tái);遠(yuǎn)程證明;直接匿名證明;標(biāo)準(zhǔn)模型;短群簽名

2004年,IBM瑞士蘇黎士研究部門(mén)卡梅尼希、惠普陳立群及英特爾布里克爾等人借鑒了群簽名、零知識(shí)證明和知識(shí)名等技術(shù),提出了最初的直接匿名認(rèn)證(direct anonymous attestation,DAA)協(xié)議,簡(jiǎn)稱BCC協(xié)議[1-2],2008年,DAA協(xié)議的創(chuàng)建者又提出一種更為高效的DAA協(xié)議,稱之為BCL協(xié)議[3],隨后,惠普的陳立群等人對(duì)BCL協(xié)議做了更進(jìn)一步的改進(jìn),降低了TPM的運(yùn)算量,稱之為CMP協(xié)議[4-5].

本文提出將梁曉輝等人設(shè)計(jì)的標(biāo)準(zhǔn)模型下的可證安全短群簽名協(xié)議[6](shortgroup signature,SGS)作用于DAA協(xié)議的方案.分析證明該方案具有簽名長(zhǎng)度短、運(yùn)行效率高及標(biāo)準(zhǔn)模型下可證安全等特性,在提高現(xiàn)有協(xié)議的安全性的同時(shí)兼顧協(xié)議的執(zhí)行效率.

1 基于l-MOMSDH假設(shè)的短群簽名DAA方案

本節(jié)提出一種新的DAA協(xié)議:基于l-MOMSDH假設(shè)[6]的短群簽名DAA方案(based on short group signature DAA,BSD),并給出協(xié)議各組成部分的詳細(xì)描述.

安全參數(shù)見(jiàn)表1.

表1 協(xié)議中的安全參數(shù)Table 1 Security param eters in the p rotoco l

1.1 Setup算法

Issuer選取整數(shù)x,y∈RZn,分別計(jì)算.Issuer公布公鑰kp=(g,X,Y,h,u),保存私鑰ks=(x,z).

在協(xié)議初始化階段,假定每個(gè)u的{ccomm}及{ccre}均為空;每個(gè)Issuer的RougeList(I)空;每個(gè)Verifier的RougeList(V)及{bbsn}均為空.

1.2 Join協(xié)議

1)Issuer首先計(jì)算sstr←g‖X‖Y‖u‖h‖nI,選取隨機(jī)數(shù)nI={0,1}lH,并將(sstr,nI)發(fā)送給 Host/TPM.

2)隨后TPM計(jì)算f:=H1(DAASeed‖KI),F:=gf,隨選整數(shù)r0∈Zn及隨機(jī)數(shù)nT←{0,1}lΦ,分別計(jì)算R0:=gr0mod n,C:=H1(sstr‖F(xiàn)‖R0‖nT)和Rf:=r0+C·f mod n,組建ccomm←(F,C,Rf,nT),并經(jīng) Host發(fā)送給Issuer.

3)Issuer接收到ccomm后,依據(jù)保存的記錄及自身策略判斷是否接受該ccomm.如果F是由一個(gè)惡意TPM計(jì)算得來(lái)或沒(méi)有經(jīng)過(guò)Issuer策略檢測(cè),Issuer將中止協(xié)議,如果驗(yàn)證通過(guò),Issuer執(zhí)行以下操作:

②其次,Issuer依據(jù)RogueList(I)上所有的fi值重新計(jì)算F,如果重新計(jì)算的F值與ccomm中的F值不同,Issuer將中止協(xié)議;

4)Host將證書(shū)轉(zhuǎn)發(fā)給TPM,TPM經(jīng)EK私鑰解密后,計(jì)算d:=af,一并發(fā)送給Host.

5)Host通過(guò)驗(yàn)證以下2個(gè)等式是否成立判定證書(shū)在計(jì)算上的正確性:

e(a,F)=e(g,d),e(XY,b)·e(g,g)-1=e(gFX,c)·e(g,u)-1.

6)如果驗(yàn)證通過(guò),TPM將調(diào)用其ks密鑰,加密存儲(chǔ)證書(shū).否則,Host/TPM將中止協(xié)議.

1.3 Sign協(xié)議

1)Verifier選取本次簽名所需的基名bbsn及用于抵御重放攻擊的隨機(jī)數(shù)nV,一并發(fā)送給Host/TPM.

2)TPM將依據(jù)bbsn的不同選取不同的D值:如果;如果,計(jì)算D:=HGT(1‖bbsn),同時(shí)計(jì)算 K:=Df,E:=gF,并將(D,K,E)值發(fā)送給Host.

4)Host生成知識(shí)簽名所需的參數(shù)I1:=e(a,b),I2:=e(a,c),I3:=e(F,bc).

5)Host/TPM聯(lián)合為消息m計(jì)算知識(shí)簽名,表述如下:

①Host隨機(jī)選取整數(shù)r4∈Zn,計(jì)算并發(fā)送給TPM;

③Host隨后計(jì)算s1:=r4+c·r mod n,并構(gòu)造最后的簽名 σ=(D,E,K,A,B,C,I1,I2,I3,c,s1,s2).

1.4 Verify算法

Verify算法驗(yàn)證了由證明方依據(jù)驗(yàn)證方Verifier選取的基名bbsn及證明方DAA證書(shū)生成的知識(shí)簽名σ,包括DAA證書(shū)的有效性驗(yàn)證、驗(yàn)證證書(shū)與平臺(tái)的對(duì)應(yīng)關(guān)系驗(yàn)證、惡意TPM的檢測(cè)等.驗(yàn)證過(guò)程與BCLDAA類(lèi)似.

1.5 RogueTagging算法

證明過(guò)程與BCL-DAA協(xié)議類(lèi)似.

1.6 Linking算法

證明過(guò)程與BCL-DAA協(xié)議類(lèi)似.

2 協(xié)議證明

2.1 正確性

如果簽名方與驗(yàn)證方都是誠(chéng)實(shí)的,或者說(shuō)f?RogueList(V),簽名者產(chǎn)生的簽名及簽名間的關(guān)聯(lián)性是可以被驗(yàn)證方的Verify算法及Linking算法驗(yàn)證通過(guò)的.也就是說(shuō),BSD協(xié)議滿足以下一致性要求.即:

2.2 完備性

如果證明方和驗(yàn)證方都是誠(chéng)實(shí)的可信平臺(tái),那么BSD協(xié)議的簽名算法與驗(yàn)證算法應(yīng)該滿足協(xié)議完備性.驗(yàn)證方對(duì)簽名的驗(yàn)證主要體現(xiàn)在下列等式的驗(yàn)證:

1)驗(yàn)證以下等式,判定證書(shū)合法性.

易于證明等式(1)、(2)成立.

2)驗(yàn)證簽名中的c值與驗(yàn)證方重新計(jì)算的c值是否相等,驗(yàn)證證書(shū)與平臺(tái)的對(duì)應(yīng)關(guān)系.具體驗(yàn)證包括驗(yàn)證等式是否成立.證明如下

同理可證 T3=T′3.

2.3 用戶可控匿名性

BSD協(xié)議中的用戶可控匿名性滿足以下2個(gè)安全屬性:

1)匿名性.1個(gè)不具有簽名方私鑰的攻擊者A無(wú)法從簽名本身推斷出簽名方身份.

2)用戶可控不可關(guān)聯(lián)性.給出基于sbsn0和bbsn1的2個(gè)簽名 σ0和 σ1,其中個(gè)不具有簽名者私鑰的攻擊者A很難分辨出(σ0,σ1)是否出自于同一個(gè)簽名方.

2.4 用戶可控追蹤性

BSD協(xié)議中的用戶可控追蹤性要滿足以下2個(gè)安全屬性:

1)不可偽造性:攻擊者A已經(jīng)攻破了1組簽名者,獲取了它們的私鑰及證書(shū).但A很難依據(jù)不屬于該組的私鑰及證書(shū)偽造1個(gè)有效簽名.

2.5 標(biāo)準(zhǔn)模型下可證安全性

定理1:如果l-MOMSDH假設(shè)在群G1中成立,離散對(duì)數(shù)問(wèn)題在G1中是難以解決的,哈希函數(shù)H2和H3具有抗碰撞性,那么BSD協(xié)議在標(biāo)準(zhǔn)模型下是可證安全的.

BSD協(xié)議的安全證明采用與BCC方案相同的安全證明模型:“理想系統(tǒng)/真實(shí)系統(tǒng)(Ideal System/Real System)”(簡(jiǎn)稱為IS/RS)[7-8].

3 結(jié)束語(yǔ)

本文提出了一種新的直接匿名證明協(xié)議,采用標(biāo)準(zhǔn)模型下的基于l-MOMSDH假設(shè)的短群簽名方案作為協(xié)議的理論支撐,并基于Fiat-Shamir啟發(fā)式設(shè)計(jì)思想,完成了協(xié)議知識(shí)簽名的數(shù)學(xué)構(gòu)造,實(shí)現(xiàn)了非交互式零知識(shí)證明到知識(shí)簽名的轉(zhuǎn)化.通過(guò)分析和證明,該方案具有的簽名長(zhǎng)度短、運(yùn)行效率高及標(biāo)準(zhǔn)模型下可證安全等特性,提高了現(xiàn)有協(xié)議的安全性和效率.

[1]KILIAN J,PETRANK E.Identity escrow[C]∥Crytology-CRYPTO'98.California,USA:Springer,1998:169-185.

[2]BRICKELL E,CAMENISCH J,CHEN Li-qun.Direct anonymous attestation[C]∥CCS'04.Washington,DC,USA:ACM,2004:132-145.

[3]BRICKELL E,CHEN Li-qun,LI Jiang-tao.Simplified security notions of directanonymous attestation and a concrets scheme from parings[C]∥TRUST2008.Villach,Austria:Springer,2008:25-45.

[4]CHEN Li-qun,MORRISSEY P,SMART N P.Pairing in trusted computing[C]∥Pairing in Cryptography-Pairing 2008.London:Springer,2008:1-17.

[5]CHEN Li-qun,MORRISSEY P,SMART N P.On proof of security for DAA schemes[C]∥ProvSec 2008.Shanghai:Springer,2008:156-175.

[6]LIANG Xiao-hui,CAOZhen-fu,SHAO Jun,et al.Shortgroup signature without random oracles[C]∥ICICS 2007.Beijing:Springer,2007:69-82.

[7]CANETTIR.Studies in securemultiparty computation and app lications[D].Israel:Weizmann Institute,1995.

[8]PFOTZMANN B,WAIDNER M.Composition and integrity preservation of secure reactive systems[C]∥The 7th ACM Comference on Computer and Communication Security.Athens,Greece:ACM,2004:245-254.

(責(zé)任編輯 苗艷玲)

A Short Group Signature DAA Scheme Based on l-Modified One More Strong Diffie-Hellman Problem Assumption

ZHOU Yan-zhou1,2,ZHANG Huan-guo1,LILi-xin2,SONG Yang3
(1.College of Computer,Wuhan University,Whhan 430072,China;2.Institute of Electronic Technology,Information Engineering University,Zhengzhou 450004,China;3.PLA 65711 troop,Dalian 116500,China)

We deisgna DAA scheme based on Short Group Signature on l-MOMSDH assumption.On the basis of Fiat-Shamir heuristic theory,the signature of knowledge and realization of the transformation from non-interactive zero knowledge proof to signature of knowledge are introduced.Because of its short signature,high efficiency and provable security in Standard Model,the security of DAA is increased while its efficiency is also guaranteed.

trusted computing platform;remote attestation;direct anonymous attestation;standard model;short group signature

TP393

A

0254-0037(2010)05-0601-04

2009-12-10.

國(guó)家“八六三”計(jì)劃資助項(xiàng)目(2008AA01Z404,2006AA01Z442,2007AA01Z411);國(guó)家自然科學(xué)基金資助項(xiàng)目(60673071,60970115).

周雁舟(1971—),男,河南安陽(yáng)人,副研究員.