曹 欣，魏仕民，卓澤朋

淮北師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院，安徽 淮北 235000

1 引言

代理簽名自1996年由Mambo等人[1]提出以來便受到廣泛關(guān)注。當(dāng)原始簽名人由于某些原因不能行使簽名權(quán)時(shí)可將簽名權(quán)委托給代理簽名人，代理簽名人可以代替原始簽名人對(duì)消息進(jìn)行簽名。代理簽名的有效性是可驗(yàn)證的。一個(gè)代理簽名方案應(yīng)該滿足可區(qū)分性、可驗(yàn)證性、不可偽造性、不可否認(rèn)性等安全性質(zhì)[2-4]。但是所有這些當(dāng)代理簽名人的簽名密鑰泄漏后，他所代理的簽名將不再安全。1997年Anderson[5]首次提出了前向安全的概念。將前向安全的概念引入代理簽名體制可以有效地解決密鑰泄漏所帶來的安全問題。

然而對(duì)前向安全的簽名方案進(jìn)行研究卻發(fā)現(xiàn)，大部分的方案[6-12]都是不安全的。很多方案在代理簽名人的密鑰進(jìn)化算法或代理簽名密鑰的的設(shè)計(jì)上具有前向安全性，但是當(dāng)密鑰泄漏以后，攻擊者不去計(jì)算以前密鑰，也能生成有效的代理簽名，即方案不具有真正的前向安全性。不能抵抗來自原始簽名人的偽造攻擊，而有的即使不知道代理簽名人的任何私有信息也能進(jìn)行偽造攻擊，前向安全的代理簽名也不再具有前向安全性。而有的代理簽名人則會(huì)借此聲稱那些對(duì)其不利的代理簽名是別人偽造的簽名，以此來推卸責(zé)任。因此，對(duì)前向安全的代理簽名方案的研究任重而道遠(yuǎn)，設(shè)計(jì)出一種具有真正意義上的前向安全代理簽名方案具有很大的研究?jī)r(jià)值。本文主要對(duì)三個(gè)前向安全的代理簽名方案進(jìn)行分析，發(fā)現(xiàn)其不具有前向安全性，當(dāng)密鑰泄漏后它不能夠抵抗原始簽名人的偽造攻擊。

2 對(duì)夏祥勝等人方案的安全性進(jìn)行分析

2.1 方案回顧

（1）初始化[9]認(rèn)證中心選擇n=p1p2=(2qp1'+1)×(2qp2'+1)，p1=p2=3mod4，QRn是模n的平方剩余集合，g∈QRn且g的階為q，并且p1，p2，p1'，p2'，q都是安全的大素?cái)?shù)。選擇一個(gè)單向安全的Hash函數(shù)和整數(shù)(e，d)，gcd(e，φ(n))=1，ed=1modφ(n)，φ(n)=(p1-1)(p2-1)。公布 (n，q，g，h，e)。A是原始簽名人，身份標(biāo)識(shí)為IDA，私鑰為xA，公鑰為yA=modn。B是代理簽名人，B的身份標(biāo)識(shí)為IDB，私鑰為xB，公鑰為yB=modn。

（2）授權(quán)過程[9]授權(quán)書mw，簽名時(shí)間周期是1，2，…，T。代理終止時(shí)間是t。A選擇一個(gè)隨機(jī)數(shù)kA，1≤kA≤n。計(jì)算η=modnσ′=(kAη+xAh(mw，η))modq。將 (mw，σ′，η)發(fā)送給B。B驗(yàn)證等式modn是否成立。若成立則計(jì)算初始代理簽名密鑰σ0=(xB+σ′)modn。驗(yàn)證公鑰。

（3）密鑰進(jìn)化及代理簽名生成[9]在第i時(shí)段(1≤i≤T)代理簽名人B計(jì)算σi=σi-12modn，然后刪除σi-1。B隨機(jī)選取αi，βi∈[1，n]，計(jì)算：，w=gβimodn，u=h(i||m||r||w||mw) ，，s=(αi-βiu)modq，則前向安全代理簽名為 (i，mw，(m，s，z，u，w))。

（4）簽名驗(yàn)證[9]驗(yàn)證者V首先判斷簽名是否在有效期，如果在有效期內(nèi)則計(jì)算modn，然后再驗(yàn)證u=h(i||m||r′||w||mw)是否成立。若成立則簽名有效，否則無效。

2.2 對(duì)該方案的安全性進(jìn)行分析

當(dāng)簽名密鑰σi泄漏后方案不具有前向安全性，不能抵抗原始簽名人的偽造攻擊。攻擊者不去計(jì)算σi-1而是利用公鑰進(jìn)行偽造攻擊。因?yàn)槭且粋€(gè)固定值，，所以，記。這個(gè)時(shí)候原始簽名人可以發(fā)起攻擊，有兩種攻擊方法。

攻擊方法一：原始簽名人在時(shí)間段j(j＜i)，選取隨機(jī)數(shù)αj，令

則偽造的代理簽名為 (j，mw，(m，sj，zj，uj，wj))，可以驗(yàn)證它是有效的代理簽名。驗(yàn)證：

所以u(píng)′j=h(j||m||rj'||wj||mw)=uj，即攻擊成功。

攻擊方法二：原始簽名人，令

那么偽造的代理簽名為 (j，mw，(m，sj，zj，uj，wj))，它是能通過驗(yàn)證人驗(yàn)證的。驗(yàn)證如下：

所以u(píng)′j=h(j||m||rj'||wj||mw)=uj成立，即原始簽名人的偽造攻擊成功。

3 對(duì)張曉敏等人方案安全性進(jìn)行分析

3.1 對(duì)方案回顧

（1）系統(tǒng)初始化[10]n=p1p2=(2qp1'+1)(2qp2'+1)，其中p1=p2=3mod4，QRn是模n的平方剩余集合，g∈QRn且g的階為q。p1，p2，p1'，p2'，q都是安全的大素?cái)?shù)，h(·)是安全單向的HASH函數(shù)。xA，xB∈分別是原始簽名人A和代理簽名者B的私鑰，公鑰yA=xA-vmodn，yB=xB-vmodn。系統(tǒng)有效期分為T個(gè)周期。

（2）授權(quán)過程[10]A選擇代理終止時(shí)間，計(jì)算a=modn，公開(，a，IDB)。B如果接受此代理則計(jì)算b=gxBmodn并且公布b。A再計(jì)算σ=modn，，將Y公布。B計(jì)算σ=modn并驗(yàn)證modn是否成立，若成立則接受此授權(quán)。

（3）代理簽名生成[10]在周期i進(jìn)行密鑰進(jìn)化，。然后刪除。B選取隨機(jī)數(shù)，r=modn，，z=modn，u=h(i||m||r||z||w||t)，s=(αi-βiv-kiu)modq。則前向安全代理簽名為(i，m，r，s，z，u，t)，t是簽名時(shí)間。

（4）簽名驗(yàn)證[10]首先驗(yàn)證t是否超過止時(shí)間，超過則簽名無效；否則可計(jì)算，然后驗(yàn)證u=h(i||m||w′||r||z||t)是否成立，成立則簽名有效。

3.2 對(duì)此方案的安全性進(jìn)行分析

攻擊者在不知道代理人私鑰的情況下也可對(duì)此方案進(jìn)行攻擊，偽造代理簽名。在簽名周期j，攻擊者選取隨機(jī)數(shù)αj，令

則 (j，m，rj，sj，zj，uj，t)為偽造的代理簽名，該簽名能通過驗(yàn)證。驗(yàn)證過程如下：

即攻擊成功，此方案不能抵抗原始簽名人和外部攻擊者的攻擊，不具有前向安全性。

4 對(duì)王天銀等人方案的安全性進(jìn)行分析

4.1 原方案回顧

（5）代理簽名的驗(yàn)證[11]首先計(jì)算。如果e′=e則簽名有效。

4.2 對(duì)此方案的安全性進(jìn)行分析

從而有ej'=ej，即原始簽名人偽造攻擊成功。

5 其他方案也存在安全隱患

6 結(jié)語

本文對(duì)前向安全簽名方案進(jìn)行分析，發(fā)現(xiàn)現(xiàn)在大多前向安全的簽名方案不具有真正意義上的前向安全性。因此，真正具有前向安全性的代理簽名方案具有很大的研究?jī)r(jià)值。

[1]Mambo M，Usuda K，Okamoto E.Proxy signatures for delegating signing operation[C]//Proc of the 3rd ACM Conference on Computer and Communications Security.[S.l.]：ACM Press，1996：48-57.

[2]Mambo M，Usuda K，Okamoto E.Proxy signatures：delegation of the power to sign messages[J].IEICE Trans on Fundam，1996，E79-A（9）：1338-1354.

[3]李繼國(guó)，曹珍富，李建中，等.代理簽名的現(xiàn)狀與進(jìn)展[J].通信學(xué)報(bào)，2003，24（10）：114-124.

[4]白國(guó)強(qiáng)，黃諄，陳弘毅，等.基于橢圓曲線的代理數(shù)字簽名[J].電子學(xué)報(bào)，2003，31（11）：1659-1663.

[5]Anderson R.Two remarks on public key cryptology[C]//Procofthe4th ACM ComputerandCommunication Security，1997.

[6]王曉明，陳火炎，符方偉.前向安全的代理簽名方案[J].通信學(xué)報(bào)，2005，26（11）：38-42.

[7]譚作文，劉卓軍.一個(gè)前向安全的強(qiáng)代理簽名方案[J].信息與電子工程，2003（4）：257-259.

[8]王亮，賈小珠.基于離散對(duì)數(shù)的前向安全代理簽名方案[J].青島大學(xué)學(xué)報(bào)，2007，20（2）：46-49.

[9]夏祥勝，洪帆，崔國(guó)華.一個(gè)前向安全的代理簽名方案的分析與改進(jìn)[J].微電子學(xué)與計(jì)算機(jī)，2008，25（10）：172-174.

[10]張曉敏，張建中.一個(gè)改進(jìn)的前向安全的代理簽名方案[J].計(jì)算機(jī)工程，2007，33（21）：140-141.

[11]王天銀，張建中.一個(gè)新的前向安全的代理數(shù)字簽名方案[J].計(jì)算機(jī)工程與應(yīng)用，2005，41（25）：133-135.

[12]王勇兵，張建中.一種前向安全的匿名代理簽名方案[J].計(jì)算機(jī)工程與應(yīng)用，2006，42（25）：108-109.