王相金，文小華，沈忠華

(杭州師范大學(xué)理學(xué)院，浙江 杭州 310036)

一個(gè)新的基于RSA的廣播多重盲簽名方案

王相金，文小華，沈忠華

(杭州師范大學(xué)理學(xué)院，浙江 杭州 310036)

分析了張鍵紅等提出的基于RSA的廣播多重?cái)?shù)字簽名方案，發(fā)現(xiàn)該方案無(wú)法抵御假冒攻擊，無(wú)法辨別不誠(chéng)實(shí)的簽名者；提出一個(gè)新的基于身份和RSA的廣播多重盲簽名方案，通過雙向認(rèn)證的方法，解決了原方案存在的安全漏洞，提高了安全性.

RSA；多重簽名；雙向認(rèn)證；安全性

現(xiàn)實(shí)生活中，往往需要參與的各方對(duì)某一重要的文件進(jìn)行簽字或表決，比如合同的簽訂、公司文件的發(fā)布等.引申到數(shù)字簽名領(lǐng)域，也就是要求多個(gè)簽名者對(duì)同一個(gè)消息進(jìn)行簽名認(rèn)證，即多重?cái)?shù)字簽名.1983年，Boyd首次提出了多重?cái)?shù)字簽名的概念，此后，大量的基于不同數(shù)學(xué)難題和密碼體制的多重?cái)?shù)字簽名方案[1-5]應(yīng)運(yùn)而生.目前，多重?cái)?shù)字簽名經(jīng)過發(fā)展和交叉，產(chǎn)生了許多分支，比如順序多重?cái)?shù)字簽名、廣播多重?cái)?shù)字簽名、代理多重簽名、多重盲簽名等等.廣播多重?cái)?shù)字簽名是指簽名發(fā)起人將消息發(fā)送給每一個(gè)簽名者，簽名者的簽名不分先后順序，但要求有一個(gè)簽名收集者，簽名者簽名后將簽名發(fā)送到簽名收集者，由收集者來(lái)進(jìn)行整理，產(chǎn)生對(duì)消息的簽名.

2003年，張鍵紅等[6]提出了一個(gè)基于RSA的多重?cái)?shù)字簽名方案，本文著重分析了這個(gè)方案，指出其中的安全漏洞，并提出新的改進(jìn)方案.新方案通過加入對(duì)消息簽名收集者和簽名者的分別認(rèn)證，可以抵御假冒攻擊，并能有效地鑒別出不誠(chéng)實(shí)的簽名者，從而提高安全性.

1 術(shù)語(yǔ)與定義

2 張等[6]提出的方案的描述

該方案是一個(gè)基于RSA和身份的廣播多重?cái)?shù)字簽名方案，安全性主要是基于RSA和哈希函數(shù)求逆的困難性，用戶的ID作為用戶的公鑰,密鑰由密鑰產(chǎn)生中心KGC(key generation center)生成，并通過秘密信道發(fā)送給用戶,主要分為如下幾個(gè)階段：

2.1 系統(tǒng)初始化階段

1)系統(tǒng)選取2個(gè)不同的大素?cái)?shù)p,q，計(jì)算n=pq,φ(n)=(p-1)(q-1)；

2)選取整數(shù)e，滿足1

2.2 簽名階段

2)Uc收到后，計(jì)算R=R1…Rtmodn，其中t表示簽名者個(gè)數(shù)，并把R廣播出去；

Uc收到后，計(jì)算簽名D=D1…Dt，則(D,R,E)為最后得到的對(duì)消息m的簽名.

2.3 驗(yàn)證階段

驗(yàn)證者UV收到消息m和簽名(D,R,E)后，計(jì)算

1)h1=h(ID1),…,ht=h(IDt)；

2)R′=De(h1…h(huán)t)E;

3)E′=h(R′,m).

驗(yàn)證等式E′=E是否成立，若成立，則接受簽名，否則，拒絕.事實(shí)上，

所以E′=h(R′,m)=h(R,m)=E顯然成立.

3 原方案存在的安全漏洞

可以看出，這是一個(gè)基于身份和RSA的多重?cái)?shù)字簽名方案，三元組(D,R,E)是對(duì)消息m的最后簽名.對(duì)該方案進(jìn)行密碼分析，發(fā)現(xiàn)它無(wú)法抵御如下幾種攻擊：

a)Uf計(jì)算R=R1…Rtmodn，其中t表示簽名者個(gè)數(shù)；

2)如果簽名組成員中有不誠(chéng)實(shí)者，該方案無(wú)法對(duì)不誠(chéng)實(shí)的簽名者進(jìn)行有效識(shí)別，只是最后驗(yàn)證過程中，簽名無(wú)法通過驗(yàn)證，但不能識(shí)別出作弊者，分析過程如下：

4 一個(gè)新的廣播多重盲簽名方案

基于以上安全問題，我們提出了一個(gè)改進(jìn)方案，該方案彌補(bǔ)了原方案的安全漏洞，提高了安全性，主要分為系統(tǒng)初始化、簽名、驗(yàn)證3個(gè)階段，具體步驟如下：

4.1 系統(tǒng)初始化階段

1)選取大素?cái)?shù)p,q,計(jì)算n=pq，φ(n)=(p-1)(q-1)[8]；

2)G1是一個(gè)加法群，其階為素?cái)?shù)t,并且0

3)選取整數(shù)e，滿足1

6)h(·):{0,1}*→{0,1}n,h1(·):{0,1}*→G1是單向的哈希函數(shù)；

7)公開系統(tǒng)參數(shù)(n,e,g,G1,t,h(·),h1(·))；

8)密鑰產(chǎn)生中心KGC計(jì)算Qi=h1(IDi)[10]，xi=dQimodφ(n),Qc=h1(IDc)，xc=dQcmodφ(n)，則xi，xc分別為第i個(gè)簽名者的私鑰和簽名收集者的私鑰，Qi，Qc分別為公鑰；

9)PKG?Ui：發(fā)送(IDi,xi)；

10)PKG?Uc：發(fā)送：(IDc,xc);

11)Ui，Uc接收到以后，分別驗(yàn)證gxie=gQimodn,gxce=gQcmodn，若驗(yàn)證式成立，則接受，否則，拒絕.

4.2 簽名階段

2)Uc?Ui：廣播發(fā)送(lc,Sc,m′)；

4)Ui→Uc：發(fā)送Si;

4.3 驗(yàn)證階段

從而方案可以被驗(yàn)證，是正確的.

5 方案的特點(diǎn)和安全性分析

下面，將結(jié)合方案特點(diǎn)進(jìn)行安全性分析：

5)簽名者無(wú)法求出系統(tǒng)私鑰d，由于ed=1modφ(n)，而φ(n)=(p-1)(q-1)，簽名者無(wú)法知道p,q,面臨大整數(shù)素分解的困難性；同時(shí)，也無(wú)法由簽名私鑰xi求出系統(tǒng)私鑰，由于xi=dQimodφ(n)，面臨求解群上的DLP問題.

6)如果簽名組成員中存在不誠(chéng)實(shí)的簽名者，能被有效識(shí)別出來(lái).由驗(yàn)證式(Sirc-Qi)e=h(m)Qimodn，等式成立，則簽名正確，簽名者是誠(chéng)實(shí)的，否則，簽名將被拒絕或要求重簽.

6 結(jié)束語(yǔ)

本文對(duì)張鍵紅等[6]提出的簽名方案進(jìn)行了密碼分析，指出其存在的安全漏洞，并提出一個(gè)新的盲數(shù)字簽名方案.該方案主要基于RSA，哈希函數(shù)求逆的困難性及群上的DLP問題，通過對(duì)消息收集者和簽名者的彼此之間的雙向認(rèn)證，可以有效抵御假冒攻擊和不誠(chéng)實(shí)的簽名者的攻擊，并能加以識(shí)別，從而彌補(bǔ)了原方案的安全漏洞，具有更高的安全性.

[1] Boyd C. Multi-signature based on zero knowledge schemes[J]. Electronic Letter,1991,27(22):2002-2004.

[2] Cheng Xiangguo, Liu Jingmei, Guo Lifeng,etal. Idengtity-based multisignature and aggregate signature schemes from m-torsion groups[J]. Journal of Electronics(China),2006,23(4):569-573.

[3] Chen Tzershyong, Huang Kuohsuan, Chung Yufang. Digital multi-signature scheme based on the elliptic curve cryptosystem[J]. Journal of Computer Science and Technology,2004,19(4):570-573.

[4] Liu Duo, Luo Ping, Dai Yiqi. Attack on digital multi-signature scheme based on elliptic curve cryptosystem[J]. Journal of Computer Science and Technology,2004,19(4):2007,22(1):92-94.

[5] Li Sujuan, Zhang Futai. A new multi-proxy signature from bilinear pairing[J]. Journal of Electronics(China),2007,24(1):90-94.

[6] 張鍵紅，韋永壯，王育民.基于RSA的多重?cái)?shù)字簽名[J].通信學(xué)報(bào),2003,24(8):150-154.

[7] 邱慧敏,楊義先,胡正名.一種新的基于智能卡的雙向身份認(rèn)證方案設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用研究,2005(12):103-105.

[8] Stinson D R.密碼學(xué)原理與實(shí)踐[M].3版.馮登國(guó),譯.北京:電子工業(yè)出版社,2009:135-137.

[9] 趙澤茂.數(shù)字簽名理論[M].北京:科學(xué)出版社,2007:95-97.

[10] 張亞玲,張璟,王曉峰.一個(gè)高效的基于身份和RSA的緊致多重?cái)?shù)字簽名方案[J].電子與信息學(xué)報(bào),2008,30(9):2246-2249.

ANewBroadcastingMulti-BlindSignatureSchemeBasedonRSA

WANG Xiang-jin, WEN Xiao-hua, SHEN Zhong-hua

(College of Science, Hangzhou Normal University, Hangzhou 310036, China)

The paper analyzed Zhang Jianhong’s broadcasting digital multi-signature scheme based on RSA, which couldn’t withstand masquerading attacks or identify dishonest signatures, then presented a new broadcasting multi-blind signature scheme based on ID and RSA, solved security vulnerabilities in the original scheme and improved security by mutual authentication.

RSA; multisignatures; mutual authentication; security

2012-02-10

浙江省教育廳科研項(xiàng)目(Y201016497)；浙江省自然科學(xué)基金項(xiàng)目(Y6110782); 杭州市高校重點(diǎn)實(shí)驗(yàn)室科技創(chuàng)新項(xiàng)目(20100331T11);杭州師范大學(xué)科研項(xiàng)目(2010QN26).

沈忠華(1973—)，男，副教授，主要從事數(shù)論與密碼學(xué)、信息安全技術(shù)、電子商務(wù)等研究. E-mail: ahtshen@126.com

11.3969/j.issn.1674-232X.2012.04.006

TP309MSC201094A60

A

1674-232X(2012)04-0315-04