李　莎　李　虓　何明星　羅大文　杜亞軍

(西華大學(xué)數(shù)學(xué)與計(jì)算機(jī)學(xué)院　四川 成都 610039)

?

無(wú)可信PKG的盲簽名方案的安全性分析及改進(jìn)

李莎李虓*何明星羅大文杜亞軍

(西華大學(xué)數(shù)學(xué)與計(jì)算機(jī)學(xué)院四川 成都 610039)

摘要無(wú)可信PKG的密碼體制克服了基于身份的密碼體制的密鑰托管問(wèn)題。針對(duì)何俊杰等人的無(wú)可信PKG的盲簽名方案，詳細(xì)分析其安全性，發(fā)現(xiàn)其方案不能抵抗敵手AI偽造攻擊。敵手AI在無(wú)法獲取用戶的部分私鑰和秘密值的情況下，對(duì)用戶的部分公鑰進(jìn)行替代，可生成對(duì)任意消息的合法的盲簽名。當(dāng)用追溯算法時(shí)，仲裁方將斷定該簽名是PKG偽造的，誠(chéng)實(shí)的PKG就會(huì)被敵手AI陷害。為此，提出相應(yīng)的改進(jìn)方案，對(duì)驗(yàn)證等式做了相應(yīng)變化，有效地防止了敵手AI的公鑰替代攻擊。

關(guān)鍵詞基于身份盲簽名私鑰生產(chǎn)中心偽造攻擊替代公鑰

SECURITY ANALYSIS AND IMPROVEMENT FOR BLIND SIGNATURE SCHEME WITHOUT TRUSTED PKG

Li ShaLi Xiao*He MingxingLuo DawenDu Yajun

(School of Mathematics and Computer Engineering,Xihua University,Chengdu 610039,Sichuan,China)

AbstractThe cryptosystem without trusted PKG gets over the problem of key escrow of the identity-based cryptosystem. In this paper we analyse in detail the security of blind signature schemes without trusted PKG presented by He Jun-jie et al., and find out that this scheme cannot resist the forgery attack of type one adversaryAI.The adversaryAIsubstitutes user’s partial public key under the condition of unable to gain the partial private key and secret value of the user, and this can forge a legitimate blind signature on arbitrary message. When the trace algorithm is executed, the arbiter will decide that this signature is forged by the PKG, and the honest PKG is to be framed by adversaryAI.Therefore, we propose an corresponding improved scheme, and make correlated change to the verification equation, thus effectively prevent the public key substitution attacks by adversaryAI.

KeywordsID-basedBlind signaturePrivate key generatorForgery attackSubstitution public key

0引言

盲簽名是一種非常典型的數(shù)字簽名技術(shù)，它最早于1982由Chuam[1]提出。在盲簽名[1]中，簽名者對(duì)所簽署的消息是不可見的，當(dāng)簽名消息被公布后，簽名者不能確認(rèn)他是否簽署了該消息。1984年，Shamir首次提出了基于身份的公鑰密碼體制[2]，其目的是為了簡(jiǎn)化PKI對(duì)密鑰的管理和取消公鑰證書。在基于身份的密碼體制[2]中，用戶的身份信息被作為用戶的公鑰，用戶的私鑰由私鑰生成中心(PKG)生成。用戶的公鑰將不再需要公鑰證書去進(jìn)行認(rèn)證，從而極大地降低了系統(tǒng)密鑰管理的開銷，提高了密鑰管理的效率。然而，在基于身份的密碼體制[2]中，由于PKG知道系統(tǒng)中所有用戶的私鑰，于是密鑰托管問(wèn)題就成了基于身份密碼體制不可避免的缺陷[3,4]。同時(shí)，PKG擁有了所有用戶的私鑰，PKG就成了敵手攻擊的主要目標(biāo)，一旦PKG被攻破或被腐蝕，系統(tǒng)崩潰將再所難免。

為了解決基于身份的公鑰密碼體制的密鑰托管問(wèn)題，密碼學(xué)者提出了無(wú)證書的公鑰密碼體制[3]和基于身份的無(wú)可信PKG的密碼體制[4]。在無(wú)證書[3]及無(wú)可信PKG[4]的公鑰密碼體制中，用戶的私鑰由PKG生成的部分私鑰和用戶自選的一個(gè)秘密值組成，用戶自己生成一個(gè)部分公鑰。因?yàn)镻KG無(wú)法知道用戶的秘密值，從而有效地克服了基于身份的公鑰密碼體制的密鑰托管問(wèn)題。許多學(xué)者把無(wú)可信PKG的公鑰密碼體制和盲簽名技術(shù)結(jié)合起來(lái)，于是出現(xiàn)了基于身份的無(wú)可信PKG的盲簽名[5-12]。無(wú)可信PKG的密碼體制中，用戶的部分公鑰是自己生成的，沒(méi)有被注冊(cè)認(rèn)證，容易遭到部分公鑰被替代攻擊。

2013年，何俊杰等提出了一個(gè)新的無(wú)可信私鑰生成中心的盲簽名方案[12]。該方案[12]聲稱能抵抗敵手AI和敵手AI的自適應(yīng)選擇消息和身份的偽造攻擊，并且可以通過(guò)追溯算法來(lái)抵抗惡意PKG(敵手AIII)的偽造攻擊。本文對(duì)何俊杰[12]的方案進(jìn)行了安全性分析，發(fā)現(xiàn)他們的方案不能抵抗敵手AI的偽造攻擊，當(dāng)用追溯算法時(shí)可以陷害誠(chéng)實(shí)的PKG，并給出了相應(yīng)的改進(jìn)方案，并給出了相應(yīng)的改進(jìn)方案。

1預(yù)備知識(shí)

1.1雙線性對(duì)

設(shè)(G1,+)是一個(gè)加法群，(G2,·)是一個(gè)乘法群，階都為素?cái)?shù)q，并假設(shè)離散對(duì)數(shù)問(wèn)題在群G1和G2中是難解的。若一個(gè)映射e:G1×G1→G2滿足：

2) 非退化性：存在P,Q∈G1，使得e(P,Q)≠1。

3) 可計(jì)算性：對(duì)?P,Q∈G1，計(jì)算e(P,Q)的值存在一個(gè)高效的算法。

則稱映射e:G1×G1→G2是一個(gè)雙線性對(duì)。

1.2相關(guān)數(shù)學(xué)難題

設(shè)P是G的一個(gè)生成元。

1.3無(wú)可信PKG的盲簽名的攻擊模型

根據(jù)PKG的可信度，無(wú)可信PKG的盲簽名方案的攻擊模型可以分為以下三種類型[8,12]：

類型1PKG是可信的，安全保護(hù)用戶的部分私鑰SID和系統(tǒng)主密鑰s，敵手AI不能得到用戶的秘密值xID和部分私鑰SID，但可以替換用戶的公鑰pkID。

類型2PKG是半可信的或被敵手AII攻破，用戶的部分私鑰SID，甚至系統(tǒng)主密鑰s都可能被AII獲取，但不能得到用戶的秘密值xID，并且不能替換用戶的公鑰pkID。

類型3PKG是完全不可信的，能偽造身份為ID的合法用戶秘密值xID和公鑰pkID，甚至給敵手AIII泄露部分私鑰SID。

若能滿足可追溯性并且可以抵抗AI和AII的偽造攻擊，則稱無(wú)可信PKG的盲簽名方案是安全的。當(dāng)敵手AIII偽造合法簽名者的簽名時(shí)，仲裁方可用追溯算法來(lái)證明這是一個(gè)偽造簽名。

2H-Z-Q盲簽名方案及其安全性分析

2.1H-Z-Q盲簽名方案回顧

2013年，何俊杰等提出了一個(gè)新的無(wú)可信私鑰生成中心的盲簽名方案[12]，這里簡(jiǎn)記為H-Z-Q盲簽名方案。H-Z-Q盲簽名方案[12]簡(jiǎn)述如下：

2) 密鑰提取

b.Alice產(chǎn)生自己的部分公鑰PID=xIDP。

c.Alice把部分公鑰PID和身份ID發(fā)送給PKG，PKG計(jì)算QID=H1(ID,PID)和簽名者的部分私鑰SID=sQID，并將SID發(fā)送給Alice。Alice通過(guò)驗(yàn)證等式e(SID,P)=e(QID,Ppub)來(lái)檢驗(yàn)SID的合法性。

d.Alice產(chǎn)生自己的簽名私鑰skID=(xID,SID)。

3) 簽名發(fā)布簽名者Alice被請(qǐng)求者Bob請(qǐng)求對(duì)消息m執(zhí)行盲簽名：

將(T,r)發(fā)送給Alice。

c.簽名Alice收到(T,r)后，計(jì)算S=xIDT+krSID。將S發(fā)送給Bob。

d.脫盲Bob收到S后，計(jì)算V=β-1(S-γPID)。

則(U,V)為身份是ID的Alice對(duì)消息m的盲簽名。

4) 驗(yàn)證驗(yàn)證者獲取盲簽名(ID,m,(U,V))后，利用Alice的公開密鑰PID來(lái)計(jì)算QID=H1(ID,PID)，H=H2(ID,m,U)，驗(yàn)證等式：

e(V,P)=e(H,PID)e(QID,U)

是否成立。如果成立，(ID,m,(U,V))為有效的盲簽名；否則簽名無(wú)效。

2.2H-Z-Q盲簽名方案的安全性分析

對(duì)H-Z-Q盲簽名方案[12]，敵手AI雖然無(wú)法獲取用戶(身份為ID)的部分私鑰SID和秘密值xID，但敵手AI可以替換用戶(身份為ID)的部分公鑰PID，并進(jìn)行偽造攻擊。敵手AI可假冒任意用戶Alice對(duì)任意消息m′進(jìn)行偽造盲簽名，下面分兩種情形來(lái)偽造盲簽名：

第一種情形敵手AI(即簽名請(qǐng)求者Bob)偽造簽名者Alice(其身份為ID)對(duì)任意消息m′的盲簽名，具體方法如下：

(3) AI計(jì)算：

H′=H2(ID,m′,U′)

則偽造簽名為(ID,m′,(U′,V′))。由于簽名者Alice沒(méi)有對(duì)消息m′進(jìn)行簽名，顯然(ID,m′,(U′,V′))對(duì)簽名者Alice來(lái)說(shuō)是盲的。同時(shí)(ID,m′,(U′,V′))是一個(gè)有效的簽名，這是因?yàn)椋?/p>

第二種情形敵手AI假冒簽名者Alice(其身份為ID)為簽名請(qǐng)求者Bob對(duì)消息m′生成盲簽名，具體方法如下：

U′=αR′=αk′P

T′=βH2(ID,m′,U′)+γP

r=βαmodq

將(T′,r)發(fā)送給AI。

則敵手AI假冒簽名者Alice(其身份為ID)偽造的盲簽名為(ID,m′,(U′,V′))。顯然(ID,m′,(U′,V′))是一個(gè)有效的簽名，這是因?yàn)椋?/p>

H′=H2(ID,m′,U′)

3H-Z-Q盲簽名方案的改進(jìn)及分析

3.1H-Z-Q盲簽名方案的改進(jìn)

H-Z-Q盲簽名方案[12]的驗(yàn)證等式：e(V,P)=e(H,PID)e(QID,U)不能有效地證明簽名者擁有合法的SID，從而無(wú)法避免敵手AI的公鑰替代攻擊。要有效地證明簽名者擁有合法的SID，驗(yàn)證等式中應(yīng)該出現(xiàn)e(QID,Ppub)。下面給出H-Z-Q盲簽名方案[12]的改進(jìn)方案：

1) 系統(tǒng)建立與原方案相同。

2) 密鑰提取與原方案相同。

3) 簽名發(fā)布 簽名者Alice被請(qǐng)求者Bob請(qǐng)求對(duì)消息m執(zhí)行盲簽名：

c.簽名Alice收到(T,r,U1)后，計(jì)算S = xIDT + k1rSID+ k2-1U1。將S發(fā)送給Bob。

d.脫盲Bob收到S后，計(jì)算V=β-1(S-γPID)。

則(U,V)為身份是ID的Alice對(duì)消息m的盲簽名。

4) 驗(yàn)證驗(yàn)證者獲取盲簽名(ID,m,(U,V))后，利用Alice的公開密鑰PID來(lái)計(jì)算QID=H1(ID,PID)，H=H2(ID,m,U)，驗(yàn)證等式：

e(V-P,P)=e(H,PID)e(QID,Ppub+U)

是否成立。如果成立，(ID,m,(U,V))為有效的盲簽名；否則簽名無(wú)效。

3.2改進(jìn)方案的分析

1) 正確性分析

顯然改進(jìn)的方案是正確的，這是因?yàn)椋?/p>

V-P=β-1(S-γPID)-P

=β-1(xIDT + k1rSID+ k2-1U1-γPID)-P

=β-1(xIDβH2(ID,m,U)+γxIDP+

k1βαSID+ k2-1βR2-γxIDP)-P

=xIDH + k1αSID+ k2-1k2(P + SID)-P

=xIDH+k1αsQID+sQID

故：

e(V-P,P)=e(xIDH,P)e((k1αs+s)QID,P)

=e(H,xIDP)e(QID,sP+αk1sP)

=e(H,xIDP)e(QID,Ppub+αk1Ppub)

=e(H,PID)e(QID,Ppub+U)

2) 安全性分析

改進(jìn)的方案是安全的，能抵抗敵手AI、AII、AIII的偽造攻擊。

(2) 改進(jìn)的方案能抵抗敵手AII的攻擊。由于驗(yàn)證等式中含有e(H,PID)=e(xIDH,P)，因此要使得偽造的盲簽名通過(guò)驗(yàn)證等式，敵手必須知道U的秘密值xID。雖然敵手AII知道主密鑰s，但他不能替代U的秘密值xID。因此敵手AII要得到xID，只能解PID=xIDP，則敵手具有求解橢圓曲線上離散對(duì)數(shù)問(wèn)題的能力。

(3) 改進(jìn)的方案可用追溯算法抵抗敵手AIII的攻擊。

3) 性能分析

本文從運(yùn)算量和安全性兩個(gè)方面，將改進(jìn)的方案與H-Z-Q方案[12]進(jìn)行比較，比較結(jié)果如表1所示。令P、mul、exp、H 分別表示雙線性對(duì)運(yùn)算、標(biāo)量乘運(yùn)算、冪運(yùn)算和哈希運(yùn)算。

表1　改進(jìn)方案與H-Z-Q方案[12]的比較

從表1可以看出: 改進(jìn)方案與H-Z-Q方案[12]在驗(yàn)證過(guò)程中運(yùn)算量相同，在簽名過(guò)程中改進(jìn)的方案運(yùn)算量比H-Z-Q方案[12]增加了3個(gè)標(biāo)量乘運(yùn)算。但改進(jìn)方案消除了公鑰替換攻擊和惡意的PKG攻擊。

4結(jié)語(yǔ)

本文對(duì)H-Z-Q盲簽名方案[12]進(jìn)行了安全性分析，發(fā)現(xiàn)這個(gè)方案不能抵抗敵手AI的偽造攻擊。敵手AI可假冒任何簽名者偽造對(duì)任意消息進(jìn)行盲簽名并陷害誠(chéng)實(shí)PKG。針對(duì)方案的安全缺陷，給出了其相應(yīng)的改進(jìn)方案及分析。改進(jìn)的方案在驗(yàn)證等式添加了e(QID,Ppub)，有效地證明簽名者擁有合法的部分私鑰SID，從而克服了敵手的公鑰替代攻擊。

參考文獻(xiàn)

[1] Chaum D.Blind signature for untraceable payments[C]//Advances in Cryptology- CRYPTO’83.Berlin:Plenum Press,1983:199-233.

[2] Shamir A.Identity-based cryptosystems and signature schemes[C]//Advances in Cryptology- CRYPTO’84.Berlin:Springer-Verlag,1984:47-53.

[3] Al-riyami S S,Paterson K G.Certificateless public key cryptography[C]//ASIACRYPT 2003,LNCS 2894.Berlin:Springer-Verlag,2003:452-473.

[4] Liao J,Xiao J F,Qi Y H,et al.ID-based signature scheme without trusted PKG[C]//Information Security and Cryptology 2005,LNCS 3822:53-62.

[5] 張學(xué)軍,王育民.新的基于身份無(wú)可信中心的盲簽名和代理簽名[J].計(jì)算機(jī)工程與應(yīng)用,2007,43(1):142-144.

[6] Yu Y H,Zheng S H,Yang Y X.ID-based blind signature and proxy blind signature without trusted PKG[C]//Proceedings of CSICC 2008,CCIS6.Berlin:Springer-Verlag,2008:821-824.

[7] 馮濤,彭偉,馬建峰.安全的無(wú)可信PKG的部分盲簽名方案[J].通信學(xué)報(bào),2010,31(1):128-135.

[8] 張小萍,鐘誠(chéng).高效無(wú)可信私鑰生成中心部分盲簽名方案[J].計(jì)算機(jī)應(yīng)用,2011,31(4):992-995.

[9] Zhang Xiaozhi,Xi Junfu,Wang Dongmei.New ID-based proxy blind multi-signature scheme without trusted PKG[C]//International Conference on Electronics Communications and Control,2011:352-355.

[10] 周萍,何大可.安全無(wú)可信私鑰生成中心的部分盲簽名方案[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2012,21(6):70-74.

[11] 周萍,何大可.高效無(wú)可信PKG的新型盲簽名方案[J].計(jì)算機(jī)應(yīng)用研究,2012,29(2):626-629.

[12] 何俊杰,王娟,祁傳達(dá).新的無(wú)可信私鑰生成中心的盲簽名方案[J].計(jì)算機(jī)應(yīng)用,2013,33(4):1061-1064,1095.

中圖分類號(hào)TP3

文獻(xiàn)標(biāo)識(shí)碼A

DOI:10.3969/j.issn.1000-386x.2016.02.071

收稿日期：2014-05-19。國(guó)家自然科學(xué)基金項(xiàng)目(U1433130，6127 1413)；四川省重點(diǎn)基金項(xiàng)目(SZD0802-09-1)；西華大學(xué)重點(diǎn)實(shí)驗(yàn)室開放研究基金項(xiàng)目(S2jj2012-029)。李莎，碩士生，主研領(lǐng)域：密碼學(xué)與信息安全。李虓，副教授。何明星，教授。羅大文，副教授。杜亞軍，教授。