王相金,文小華,沈忠華
(杭州師范大學(xué)理學(xué)院,浙江 杭州 310036)
一個(gè)新的基于RSA的廣播多重盲簽名方案
王相金,文小華,沈忠華
(杭州師范大學(xué)理學(xué)院,浙江 杭州 310036)
分析了張鍵紅等提出的基于RSA的廣播多重?cái)?shù)字簽名方案,發(fā)現(xiàn)該方案無(wú)法抵御假冒攻擊,無(wú)法辨別不誠(chéng)實(shí)的簽名者;提出一個(gè)新的基于身份和RSA的廣播多重盲簽名方案,通過雙向認(rèn)證的方法,解決了原方案存在的安全漏洞,提高了安全性.
RSA;多重簽名;雙向認(rèn)證;安全性
現(xiàn)實(shí)生活中,往往需要參與的各方對(duì)某一重要的文件進(jìn)行簽字或表決,比如合同的簽訂、公司文件的發(fā)布等.引申到數(shù)字簽名領(lǐng)域,也就是要求多個(gè)簽名者對(duì)同一個(gè)消息進(jìn)行簽名認(rèn)證,即多重?cái)?shù)字簽名.1983年,Boyd首次提出了多重?cái)?shù)字簽名的概念,此后,大量的基于不同數(shù)學(xué)難題和密碼體制的多重?cái)?shù)字簽名方案[1-5]應(yīng)運(yùn)而生.目前,多重?cái)?shù)字簽名經(jīng)過發(fā)展和交叉,產(chǎn)生了許多分支,比如順序多重?cái)?shù)字簽名、廣播多重?cái)?shù)字簽名、代理多重簽名、多重盲簽名等等.廣播多重?cái)?shù)字簽名是指簽名發(fā)起人將消息發(fā)送給每一個(gè)簽名者,簽名者的簽名不分先后順序,但要求有一個(gè)簽名收集者,簽名者簽名后將簽名發(fā)送到簽名收集者,由收集者來(lái)進(jìn)行整理,產(chǎn)生對(duì)消息的簽名.
2003年,張鍵紅等[6]提出了一個(gè)基于RSA的多重?cái)?shù)字簽名方案,本文著重分析了這個(gè)方案,指出其中的安全漏洞,并提出新的改進(jìn)方案.新方案通過加入對(duì)消息簽名收集者和簽名者的分別認(rèn)證,可以抵御假冒攻擊,并能有效地鑒別出不誠(chéng)實(shí)的簽名者,從而提高安全性.
該方案是一個(gè)基于RSA和身份的廣播多重?cái)?shù)字簽名方案,安全性主要是基于RSA和哈希函數(shù)求逆的困難性,用戶的ID作為用戶的公鑰,密鑰由密鑰產(chǎn)生中心KGC(key generation center)生成,并通過秘密信道發(fā)送給用戶,主要分為如下幾個(gè)階段:
2.1 系統(tǒng)初始化階段
1)系統(tǒng)選取2個(gè)不同的大素?cái)?shù)p,q,計(jì)算n=pq,φ(n)=(p-1)(q-1);
2)選取整數(shù)e,滿足1 2.2 簽名階段 2)Uc收到后,計(jì)算R=R1…Rtmodn,其中t表示簽名者個(gè)數(shù),并把R廣播出去; Uc收到后,計(jì)算簽名D=D1…Dt,則(D,R,E)為最后得到的對(duì)消息m的簽名. 2.3 驗(yàn)證階段 驗(yàn)證者UV收到消息m和簽名(D,R,E)后,計(jì)算 1)h1=h(ID1),…,ht=h(IDt); 2)R′=De(h1…h(huán)t)E; 3)E′=h(R′,m). 驗(yàn)證等式E′=E是否成立,若成立,則接受簽名,否則,拒絕.事實(shí)上, 所以E′=h(R′,m)=h(R,m)=E顯然成立. 可以看出,這是一個(gè)基于身份和RSA的多重?cái)?shù)字簽名方案,三元組(D,R,E)是對(duì)消息m的最后簽名.對(duì)該方案進(jìn)行密碼分析,發(fā)現(xiàn)它無(wú)法抵御如下幾種攻擊: a)Uf計(jì)算R=R1…Rtmodn,其中t表示簽名者個(gè)數(shù); 2)如果簽名組成員中有不誠(chéng)實(shí)者,該方案無(wú)法對(duì)不誠(chéng)實(shí)的簽名者進(jìn)行有效識(shí)別,只是最后驗(yàn)證過程中,簽名無(wú)法通過驗(yàn)證,但不能識(shí)別出作弊者,分析過程如下: 基于以上安全問題,我們提出了一個(gè)改進(jìn)方案,該方案彌補(bǔ)了原方案的安全漏洞,提高了安全性,主要分為系統(tǒng)初始化、簽名、驗(yàn)證3個(gè)階段,具體步驟如下: 4.1 系統(tǒng)初始化階段 1)選取大素?cái)?shù)p,q,計(jì)算n=pq,φ(n)=(p-1)(q-1)[8]; 2)G1是一個(gè)加法群,其階為素?cái)?shù)t,并且0 3)選取整數(shù)e,滿足1 6)h(·):{0,1}*→{0,1}n,h1(·):{0,1}*→G1是單向的哈希函數(shù); 7)公開系統(tǒng)參數(shù)(n,e,g,G1,t,h(·),h1(·)); 8)密鑰產(chǎn)生中心KGC計(jì)算Qi=h1(IDi)[10],xi=dQimodφ(n),Qc=h1(IDc),xc=dQcmodφ(n),則xi,xc分別為第i個(gè)簽名者的私鑰和簽名收集者的私鑰,Qi,Qc分別為公鑰; 9)PKG?Ui:發(fā)送(IDi,xi); 10)PKG?Uc:發(fā)送:(IDc,xc); 11)Ui,Uc接收到以后,分別驗(yàn)證gxie=gQimodn,gxce=gQcmodn,若驗(yàn)證式成立,則接受,否則,拒絕. 4.2 簽名階段 2)Uc?Ui:廣播發(fā)送(lc,Sc,m′); 4)Ui→Uc:發(fā)送Si; 4.3 驗(yàn)證階段 從而方案可以被驗(yàn)證,是正確的. 下面,將結(jié)合方案特點(diǎn)進(jìn)行安全性分析: 5)簽名者無(wú)法求出系統(tǒng)私鑰d,由于ed=1modφ(n),而φ(n)=(p-1)(q-1),簽名者無(wú)法知道p,q,面臨大整數(shù)素分解的困難性;同時(shí),也無(wú)法由簽名私鑰xi求出系統(tǒng)私鑰,由于xi=dQimodφ(n),面臨求解群上的DLP問題. 6)如果簽名組成員中存在不誠(chéng)實(shí)的簽名者,能被有效識(shí)別出來(lái).由驗(yàn)證式(Sirc-Qi)e=h(m)Qimodn,等式成立,則簽名正確,簽名者是誠(chéng)實(shí)的,否則,簽名將被拒絕或要求重簽. 本文對(duì)張鍵紅等[6]提出的簽名方案進(jìn)行了密碼分析,指出其存在的安全漏洞,并提出一個(gè)新的盲數(shù)字簽名方案.該方案主要基于RSA,哈希函數(shù)求逆的困難性及群上的DLP問題,通過對(duì)消息收集者和簽名者的彼此之間的雙向認(rèn)證,可以有效抵御假冒攻擊和不誠(chéng)實(shí)的簽名者的攻擊,并能加以識(shí)別,從而彌補(bǔ)了原方案的安全漏洞,具有更高的安全性. [1] Boyd C. Multi-signature based on zero knowledge schemes[J]. Electronic Letter,1991,27(22):2002-2004. [2] Cheng Xiangguo, Liu Jingmei, Guo Lifeng,etal. Idengtity-based multisignature and aggregate signature schemes from m-torsion groups[J]. Journal of Electronics(China),2006,23(4):569-573. [3] Chen Tzershyong, Huang Kuohsuan, Chung Yufang. Digital multi-signature scheme based on the elliptic curve cryptosystem[J]. Journal of Computer Science and Technology,2004,19(4):570-573. [4] Liu Duo, Luo Ping, Dai Yiqi. Attack on digital multi-signature scheme based on elliptic curve cryptosystem[J]. Journal of Computer Science and Technology,2004,19(4):2007,22(1):92-94. [5] Li Sujuan, Zhang Futai. A new multi-proxy signature from bilinear pairing[J]. Journal of Electronics(China),2007,24(1):90-94. [6] 張鍵紅,韋永壯,王育民.基于RSA的多重?cái)?shù)字簽名[J].通信學(xué)報(bào),2003,24(8):150-154. [7] 邱慧敏,楊義先,胡正名.一種新的基于智能卡的雙向身份認(rèn)證方案設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用研究,2005(12):103-105. [8] Stinson D R.密碼學(xué)原理與實(shí)踐[M].3版.馮登國(guó),譯.北京:電子工業(yè)出版社,2009:135-137. [9] 趙澤茂.數(shù)字簽名理論[M].北京:科學(xué)出版社,2007:95-97. [10] 張亞玲,張璟,王曉峰.一個(gè)高效的基于身份和RSA的緊致多重?cái)?shù)字簽名方案[J].電子與信息學(xué)報(bào),2008,30(9):2246-2249. ANewBroadcastingMulti-BlindSignatureSchemeBasedonRSA WANG Xiang-jin, WEN Xiao-hua, SHEN Zhong-hua (College of Science, Hangzhou Normal University, Hangzhou 310036, China) The paper analyzed Zhang Jianhong’s broadcasting digital multi-signature scheme based on RSA, which couldn’t withstand masquerading attacks or identify dishonest signatures, then presented a new broadcasting multi-blind signature scheme based on ID and RSA, solved security vulnerabilities in the original scheme and improved security by mutual authentication. RSA; multisignatures; mutual authentication; security 2012-02-10 浙江省教育廳科研項(xiàng)目(Y201016497);浙江省自然科學(xué)基金項(xiàng)目(Y6110782); 杭州市高校重點(diǎn)實(shí)驗(yàn)室科技創(chuàng)新項(xiàng)目(20100331T11);杭州師范大學(xué)科研項(xiàng)目(2010QN26). 沈忠華(1973—),男,副教授,主要從事數(shù)論與密碼學(xué)、信息安全技術(shù)、電子商務(wù)等研究. E-mail: ahtshen@126.com 11.3969/j.issn.1674-232X.2012.04.006 TP309MSC201094A60 A 1674-232X(2012)04-0315-043 原方案存在的安全漏洞
4 一個(gè)新的廣播多重盲簽名方案
5 方案的特點(diǎn)和安全性分析
6 結(jié)束語(yǔ)