何琪芬

（1.杭州師范大學(xué)理學(xué)院，浙江杭州 310036；2.杭州師范大學(xué)東城實(shí)驗(yàn)學(xué)校，浙江杭州 310019）

對指定驗(yàn)證者簽名方案的安全性分析

何琪芬1，2

（1.杭州師范大學(xué)理學(xué)院，浙江杭州 310036；2.杭州師范大學(xué)東城實(shí)驗(yàn)學(xué)校，浙江杭州 310019）

為了解決簽名者的隱私問題，Jakobsson等提出指定驗(yàn)證者簽名方案.針對最近一些學(xué)者提出的指定驗(yàn)證者的簽名方案，文章給出其安全性分析，并指出它們是不安全的，均不滿足不可偽造性.

指定驗(yàn)證者；偽造攻擊；安全性分析

0 引 言

在1996年歐密會議上，Jakobsson、Sako和Impagliazzo［1］首次提出了指定驗(yàn)證人簽名的概念.指定驗(yàn)證者簽名方案使得指定驗(yàn)證者能驗(yàn)證簽名的有效性，驗(yàn)證者可以生成一個與原簽名不可區(qū)分的簽名，那么簽名者和驗(yàn)證者無法使得第三方能夠相信這是簽名者所產(chǎn)生的合法簽名，因而指定驗(yàn)證者簽名方案具有不可轉(zhuǎn)移性的性質(zhì).文獻(xiàn)［1］還給出了強(qiáng)指定驗(yàn)證者簽名，在這種簽名方案中，在驗(yàn)證階段需要使用指定驗(yàn)證者的私鑰，因而只有指定的驗(yàn)證者才能驗(yàn)證簽名的有效性.2003年，Saeednia等［2］形式化了強(qiáng)指定驗(yàn)證者簽名方案，并且提出一個高效的強(qiáng)指定驗(yàn)證者簽名方案.Steninfeld等［3］提出廣義指定驗(yàn)證者簽名的概念，在這種簽名方案中，簽名持有者可以指定一個驗(yàn)證者來驗(yàn)證簽名的有效性，但是任何其他的第三方是不能夠相信這個事實(shí)的.2008年，Zhang等［4］提出一個基于身份的指定驗(yàn)證者簽名方案，吳云天等［5］指出該方案未知指定驗(yàn)證者私鑰可驗(yàn)證簽名，并且提出一個改進(jìn)方案.文獻(xiàn)［6］以文獻(xiàn)［7］為基礎(chǔ)，提出一個基于身份的指定驗(yàn)證者代理簽名方案.李明祥等［8］也提出一個高效的基于身份的強(qiáng)指定驗(yàn)證者簽名方案.

本文詳細(xì)分析了文獻(xiàn)［5－6，8］的方案，發(fā)現(xiàn)這3個方案均存在安全缺陷，攻擊者可以偽造出有效的簽名，所以這些方案不能滿足不可偽造性.

1 吳等［5］提出的指定驗(yàn)證者的簽名方案

1.1 系統(tǒng)初始化

密鑰生成中心選取一個q階加法群（G1，＋）和一個同階的乘法群（G1，＊），其中，q為一個大素?cái)?shù).設(shè)P是G1的一個生成元，映射e：G1×G1→G2為雙線性映射.隨機(jī)選取s∈作為系統(tǒng)私鑰，計(jì)算相應(yīng)的系統(tǒng)公鑰Ppub＝sp.選取3個安全Hash函數(shù)，即H1（）：｛0，1｝＊→G1，H2（）：｛0，1｝＊×G1×G1×G1→G1，H3（）：G1→，公開系統(tǒng)參數(shù)｛G1，G2，e，q，p，ppub，H1，H2，H3｝.

1.2 密鑰生成

1）用戶U隨機(jī)選取tU∈Z＊q，計(jì)算并發(fā)送給TU＝tUP給PKG.

2）PKG計(jì)算cU＝H3（TU），QU＝cUH1（IDU），SU＝sQU，將QU作為用戶U的公鑰，將SU作為其私鑰發(fā)送給用戶U.用戶U計(jì)算QU＝cUH1（IDU），當(dāng)?shù)仁絜（SU，P）＝e（QU，Ppub）成立時(shí)接受私鑰SU，否則認(rèn)為PKG未遵守協(xié)議產(chǎn)生私鑰.

1.3 簽名過程

當(dāng)簽名者A需要對指定驗(yàn)證者B完成對消息M的簽名時(shí)，其簽名過程如下：隨機(jī)選取r1∈，并計(jì)算

將（U，W，V，X）作為消息M的簽名發(fā)送給指定驗(yàn)證者B.

1.4 驗(yàn)證過程

指定驗(yàn)證者B收到消息M的一個簽名（U，W，V，X），計(jì)算Y＝H2（M，U，W，X），當(dāng)且僅當(dāng)?shù)仁絜（U，V）＝e（QB，Y）e（SB，W）成立時(shí)接受該簽名.

1.5 模擬過程

2 對吳等［5］的指定驗(yàn)證者的簽名方案的攻擊

吳等的指定驗(yàn)證者的簽名方案不滿足不可偽造性，分析如下：

敵手可以偽造任意消息m＊的簽名

則可以驗(yàn)證σ＊滿足驗(yàn)證式

也即意味著簽名σ＊＝（U＊，W＊，V＊，X＊）有效，敵手可以成功偽造出能通過驗(yàn)證者驗(yàn)證的簽名，說明原方案不安全，其不滿足不可偽造性.

3 張［6］提出的指定驗(yàn)證者簽名方案

3.1 系統(tǒng)設(shè)置

設(shè)（G1，＋）和（G2，×）是階為大素?cái)?shù)q的循環(huán)群.P為G1的生成元.定義G1上的一個雙線性映射e：G1×G1→G2，其滿足雙線性性、非退化性和可計(jì)算性，同時(shí)定義密碼學(xué)上3個強(qiáng)無碰撞安全單向Hash函數(shù)：

mw：授權(quán)信息，包括指定代理簽名人的身份ID，簽名授權(quán)的有效期限，需要簽名的信息范圍.最后密鑰生成中心PKG選擇系統(tǒng)主密鑰s∈，并計(jì)算系統(tǒng)公鑰Ppub＝sp，將s秘密保存，公開其系統(tǒng)參數(shù)：｛G1，G2，e，q，p，ppub，H1，H2，H3｝.

3.2 密鑰提取

原始簽名人A，代理簽名人B，指定驗(yàn)證人C分別將各自的身份信息IDA，IDB，IDC提交給PKG，PKG計(jì)算QIDA＝H1（IDA），QIDB＝H1（IDB），QIDC＝H1（a）作為公鑰，SIDA＝sQIDA，SIDB＝sQIDB，SIDC＝sQIDC作為私鑰，并通過安全信道將它們分別發(fā)送給A，B，C.

3.3 代理密鑰的生成

1）原始簽名人A利用私鑰對mw進(jìn)行簽名，同時(shí)指定可信的簽名驗(yàn)證人C.首先，原始簽名人A隨機(jī)選取rA∈，計(jì)算

將授權(quán)信息（mw，SW，VA）通過安全信道發(fā)送給代理簽名人B.

2）代理簽名人B收到授權(quán)信息后后，計(jì)算hA＝H3（mw，QIDC，VA），并且驗(yàn)證等式是否成立.如果成立，則B隨機(jī)選取rB∈，計(jì)算代理密鑰Sp＝SW＋rB和驗(yàn)證公鑰Qp＝hA＋VA＋VB.

3.4 簽 名

3.5 驗(yàn) 證

4 對張的指定驗(yàn)證者簽名方案的攻擊

張的指定驗(yàn)證者簽名方案不滿足不可偽造性，分析如下：

張的方案聲稱其滿足不可偽造性，因?yàn)橐蠼鈙相當(dāng)于求解離散對數(shù)問題，但是若敵手獲得一個有效簽名（m，mω，VA，VB，QP，VP，UP），則可以獲得VP，然后敵手可以偽造任何消息的代理簽名.

5 李等［8］提出的指定驗(yàn)證者的簽名方案

5.1 系統(tǒng)設(shè)置

PKG選擇階為素?cái)?shù)q的循環(huán)群G，G1.選擇雙線性映射e：G×G→G1和任意的生成元p∈G，選擇安全Hash函數(shù)：

PKG選擇系統(tǒng)主密鑰s∈Zq，并計(jì)算系統(tǒng)公鑰Ppub＝sp，將s秘密保存，公開其系統(tǒng)參數(shù)：｛G，G1，e，q，p，ppub，H1，H2｝.

5.2 密鑰提取

給定身份ID，PKG計(jì)算skID＝sH1（ID）并將它發(fā)送給用戶ID，而用戶ID的公鑰QID＝H1（ID）.

5.3 簽 名

已知簽名者Alice的私鑰，指定驗(yàn)證者Bob的公鑰和消息M，Alice隨機(jī)選擇r∈，并計(jì)算U＝，則Alice在消息M上的簽名σ＝（U，V）.

5.4 驗(yàn) 證

指定驗(yàn)證人Bob的私鑰、簽名者Alice的公鑰、消息M和簽名σ＝（U，V），Bob驗(yàn)證下面的等式是否成立，如果成立，則簽名σ是有效的.

6 對李等提出的指定驗(yàn)證者的簽名方案的攻擊

李明祥等［8］提出的指定驗(yàn)證者的簽名方案是不安全的，不滿足不可偽造性，分析如下：

當(dāng)敵手獲得一個身份為ID＊對消息m有效的簽名σ＝（U，V），則敵手能夠生成消息m＊有效簽名σ＊.計(jì)算

U＊＝r＊QIDB，V＊＝e（r＊H2（m＊），QIDB）e（skIDA，QIDB），

而e（skIDA，QIDB）可以從等式V＝e（H2（m），U）e（QIDA，skIDB）計(jì)算出，其中e（QIDA，skIDB）＝e（skIDA，QIDB）.則消息m＊的簽名為σ＊＝（U＊，V＊）.可以通過驗(yàn)證式：V＊＝e（r＊H2（m＊），QIDB）e（skIDA，QIDB）＝e（H2（m＊），U）e（QIDA，skIDB）.也即敵手只要獲得一個有效簽名，就能偽造對任意消息m＊的有效簽名.

7 結(jié) 語

本文分別分析了文獻(xiàn)［5－6，8］提出的指定驗(yàn)證者的簽名方案的安全性，發(fā)現(xiàn)它們均不滿足不可偽造性.目前，很多的數(shù)字簽名方案都不能滿足不可偽造性，如何設(shè)計(jì)一個安全的指定驗(yàn)證者的簽名方案仍是一個值得研究的問題.

［1］Jakobsson M，Sako K，Mpagliazzo R.Designated verifiers proofs and their applications［C］//Lecture Notes in Computer Science 1070：Advances in Cryptology－Eurocrypt'96.Berlin：Springer－Verlag，1996：143－154.

［2］Saeednia S，Kramer S，Markovitch O.An efficient strong designated verifier signature scheme［C］//ICISC 2003.Berlin：Springer－Verlag，2003：40－54.

［3］Steinfel R，Bull L，Wang H，etal.Universal designated－verifier signatures［C］//AsiaCrypt 2003，LNCS 2894.Berlin：Springer－Verlag，2003：523－543.

［4］Zhang J H，Mao J.A novel ID－based designated verifier signature scheme［J］.Information Sciences，2008，178（3）：766－773.

［5］吳云天，吳鋌.具有高安全性的指定驗(yàn)證者簽名方案［J］.計(jì)算機(jī)工程，2009，35（23）：141－143.

［6］張慧.基于身份的指定驗(yàn)證人代理簽名方案［J］.杭州師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2010，9（1）：30－32.

［7］劉慧鵬，藍(lán)才會，丁永軍，等.一個基于身份的代理簽名方案［J］.蘭州交通大學(xué)學(xué)報(bào)，2008，27（1）：120－123.

［8］李明祥，鄭雪峰，朱建勇，等.一種高效的基于身份的強(qiáng)指定驗(yàn)證者簽名方案［J］.四川大學(xué)學(xué)報(bào)：工程科學(xué)版，2009，41（4）：176－180.

Security Analysis on Designated Verifier Signature Scheme

HE Qi－fen1，2
（1.College of Science，Hangzhou Normal University，Hangzhou 310036，China；
2.Dongcheng Experimental School，Hangzhou Normal University，Hangzhou 310019，China）

In order to solve signers'privacy problems，Jakobsson，et al.first introduced the notion of designated verifier signature scheme.This paper analyzed the security of the designated verifier signature schemes proposed by some researchers recently，and pointed out they were insecure，which had no characteristic of unforgeability.

designated verifier；forgery attack；security analysis

TP309 MSC2010：96A30

A

1674－232X（2012）01－0067－04

11.3969/j.issn.1674－232X.2012.01.015

2010－09－03

何琪芬（1985—），女，應(yīng)用數(shù)學(xué)專業(yè)碩士，主要從事數(shù)論及其應(yīng)用研究.E－mail：marcia1111＠sina.com