褚晶晶,何琪芬，張 慧

(杭州師范大學(xué) 理學(xué)院，浙江 杭州 310036)

0 引 言

數(shù)字簽名技術(shù)是用來保證傳輸信息的真實性、解決通信雙方爭端的信息安全技術(shù)，最早應(yīng)用于用戶登錄過程，現(xiàn)已廣泛應(yīng)用于電子郵件、數(shù)據(jù)交換、電子交易和電子貨幣等領(lǐng)域.在現(xiàn)今流行的電子商務(wù)活動中，是通過數(shù)字簽名來證明傳送文件當(dāng)事人身份與數(shù)據(jù)真實性的.

第一個數(shù)字簽名方案由Rivest,Shamir和Adleman提出，稱為RSA方案[1].這一方案是建立在他們提出的一個假設(shè)，即RSA假設(shè)之上的.早期的數(shù)字簽名方案主要由Lamport和Rabin等人提出.經(jīng)過20多年的發(fā)展，已經(jīng)提出許多高效、安全的數(shù)字簽名方案.比較著名的有ElGamal、Schnorr、DSA、Rabin和Okamoto等.

在現(xiàn)實生活中，數(shù)字簽名的應(yīng)用領(lǐng)域已愈來愈廣泛且多樣，因此能適應(yīng)某些特殊要求的數(shù)字簽名技術(shù)也應(yīng)運而生.如簽名人委托另一個人代表他簽名，于是就有了代理簽名[2]的概念；為了保護信息擁有者的隱私，要求簽名人不能看見所簽信息，于是就有了盲簽名[3]的產(chǎn)生；為了只允許被看得到真實消息的接收者看到消息，又有了指定的接收者恢復(fù)消息的盲簽名[4]；為了在簽名密鑰被泄露的情況下，仍能保護以前簽名的安全，于是又有了前向安全的數(shù)字簽名[5-7].

在此提出了一種新的基于ElGamal體制的前向安全的具有指定接收者恢復(fù)消息的合作盲簽名方案.方案中簽名發(fā)起者為原始消息的掌握者A，簽名合作者為B，指定接收者為C，A的目的是把原始消息告訴C，但由于某種原因(例如，需要委托專門的“運送公司”B來幫忙傳遞，或者，需要得到B的某種方式的認可，這種認可是以由B轉(zhuǎn)交來實現(xiàn)的).在現(xiàn)實中，A要把某物件給某人C，為方便起見，A一般會選擇快遞、空運等方式轉(zhuǎn)接，而不是親自出馬，以便節(jié)省人力物力.但這個物件或是信息的具體內(nèi)容，A又是不想讓運送者B知道，只是讓B負責(zé)物品轉(zhuǎn)接，因此A將要傳送的物件進行“包裝”，應(yīng)用到數(shù)字簽名里就是信息盲化，等到指定的接收者C憑有效證件拿到“包裹”后，接收者才能“拆分包裹”，驗收里面的貨品.經(jīng)驗證，該方案滿足前向安全性、不可偽造性、不可否認性、盲性等要求.

1 方案描述

方案包括5個過程：系統(tǒng)初始化過程，簽署合作過程，密鑰更新過程，合作簽名過程，簽名的驗證接收過程.

1.1 系統(tǒng)初始化

1.2 簽署合作過程

RA=grA(modp)，θ=rA+ZBxA(modq)，

為簽名發(fā)起者A將部分簽名權(quán)委托給簽名合作者B簽名的驗證公鑰，在系統(tǒng)內(nèi)公開.然后簽名發(fā)起者A將(θ,RA)通過安全渠道發(fā)送給簽名合作者B.

4)B收到(θ,RA)后，檢測gθ=RA·yAZB(modp)是否成立？如果成立，則說明(θ,RA)是A發(fā)送過來的，B接受A的委托，同意協(xié)助A共同行使簽名的權(quán)力，否則拒絕接受A的委托.若成立，則繼續(xù)計算

θp=θ+wB+xB(modq)

為B參與合作簽名的私鑰，將其秘密地保存，此方程滿足關(guān)系式y(tǒng)p=(gθp)2T(modp)，記σ0=gθp(modp)，則yp=σ02T(modp)，yp為簽名發(fā)起者A將部分簽名權(quán)委托給簽名合作者B簽名的驗證公鑰.A只要計算

是否成立，即可確認他要合作的人是不是就是B.

1.3 密鑰更新過程

1.4 合作簽名過程

1) 在第j個周期，A于tAj時刻從CA處獲取信息mj和消息有效截止時刻tj后，首先驗證tj-tAj>0是否成立，接下來的每一步操作都是先驗證是否超時，超時則向CA中心發(fā)送一個超時信息，表示對mj的簽名失??；若沒有超時，則簽名繼續(xù)進行，下文不再贅述這一超時驗證操作.

1.5 簽名的驗證接收過程

gαjrBj(gyp2-T+j)βjgγjyA=RBjαj(gyp2-T+j)βjgγjyA(modp)=RCj

RjgxCrBj=RjyCrBj=RjR1j(modp)=mj′

2 安全性分析

2) 該方案能抵抗偽造攻擊.只有簽名發(fā)起人和簽名合作人合作才能夠生成有效的簽名，其他任何人包括簽名發(fā)起人A亦或是簽名合作人B都不能單獨偽造生成簽名.因為合作簽名的私鑰θp=θ+wB+xB(modq)中包含有簽名合作人B的私鑰xB和隨機數(shù)wB，只有B才能生成θp；而從yp中獲得私鑰θp將同時面臨二次剩余難題[9]及離散對數(shù)難題；若A要單獨偽造簽名，還必須知道隨機數(shù)rBj，而該隨機數(shù)在不同的周期要發(fā)生變化的，因此基于上述難題就有效地保護了簽名合作人B的利益.而合作簽名人B也是不能單獨偽造生成簽名的，安全性分析見以下4)所述.

中求得αj,βj,γj.因此，B不能把簽名文件的行為與簽了名的文件聯(lián)系起來，達到對消息擁有者追蹤的目的，故這個簽名方案是一個強盲簽名方案.

5) 該方案具有保密性.只有指定的接收者C才能恢復(fù)出消息，其他任何人都不能從簽名中恢復(fù)出消息.

6) 方案還能抵抗重播攻擊.在方案中引入了時間標(biāo)志，每次都要對時間進行驗證，可以防止簽名重播.

3 結(jié)束語

文章基于ElGamal數(shù)字簽名體制構(gòu)造了一種新的前向安全的具有指定接收者恢復(fù)消息的合作盲簽名方案.與以往的具有指定接收者恢復(fù)消息的代理盲簽名方案相比，該方案增加了前向安全特性，并且將原始消息擁有權(quán)和原始簽名權(quán)都交給了同一個人——簽名發(fā)起人.在合作簽名階段發(fā)起人參與到簽名過程，這樣也就制約了以往的代理人單獨完成后續(xù)簽名過程而易造成內(nèi)部偽造攻擊的危機.在簽名的驗證階段，只有指定的接收者才能利用自身的私鑰恢復(fù)出原始消息，接收者不僅能確認是B傳遞的消息，還能確認是否有A的參與.該方案是一個安全、實用的盲簽名方案.

[1] Rivest R L, Shamir A, Adleman L M. A method for obtaining digital signatures and public-key cryptosystems[J]. Communications of the ACM,1978,21(2)：120-126.

[2] Mambo M, Usuda K, Okamoto E. Proxy signatures: Delegation of the power to sign message[J]. IEICE Trans Fundamentals,1996,E79-A(9):1338-1354.

[3] Chaum D. Blind signature systems[C]//Chaum D. Proceedings of the Crypo’83. New York: Springer-Verlag，1998：153-156.

[4] Nyberg K, Rueppel R A. Message recovery for signature schemes based on the discrete logarithm[J]. Designs, Codes and Cryptography,1996,7(1-2):61-81.

[5] Anderson R. Two remarks on public-key cryptology[C]//Tsutomu M. Proceedings of the 4th ACM Conference on Computer and Communications Security. Zurich: ACM Press,1997:1-7.

[6] 王曉明,符方偉,張震.前向安全的多重數(shù)字簽名方案[J].計算機學(xué)報,2004,27(9):1177-1181.

[7] 黃巖渠,謝冬青.一種新的前向安全數(shù)字簽名方案[J].計算機應(yīng)用研究，2004:133-134.

[8]Bruce Schneier.應(yīng)用密碼學(xué)：協(xié)議、算法與C源程序[M].吳世忠,祝世雄,張文政,等,譯.北京:機械工業(yè)出版社,2000:49-131.

[9] Kozlov A, Reyzin L. Forward-secure signatures with fast key update[C]//Proceedings of Security in Communication Networks, LNCS2576. Berlin: Springer-Verlag,2002:247-262.

[10] 屈娟,張建中.具有消息恢復(fù)的指定接收者的代理盲簽名方案[J].計算機工程與應(yīng)用,2008,44(33):110-111.