王亞楠++劉麗梅

摘要： 橢圓曲線的密碼體制是密碼學(xué)的研究熱點(diǎn)之一，而作為現(xiàn)如今最重要的數(shù)字密碼系統(tǒng)數(shù)字簽名是一種單向不可逆的公開密鑰系統(tǒng)，在資源的處理中逐漸取代了RSA的地位。進(jìn)而它在電子商務(wù)和網(wǎng)絡(luò)安全通信方面有著至關(guān)重要的作用。本文通過(guò)對(duì)橢圓曲線密碼學(xué)及數(shù)字簽名的研究分析，給出了幾點(diǎn)改進(jìn)和優(yōu)化的建議。

Abstract： The cryptosystem of elliptic curve is one of the hotspots of cryptography research. As the most important digital cryptosystem， digital signature system is a one-way irreversible public key system， and it has gradually replaced the status of RSA in the process of resource processing， also it has a vital role in e-commerce and cybersecurity communications. In this paper， through the analysis of elliptic curve cryptography and digital signature， it gives some suggestions for improvement and optimization.

關(guān)鍵詞： 橢圓曲線密碼體制；數(shù)學(xué)簽名；門限體制

Key words： elliptic curve cryptosystem；mathematical signature；threshold system

中圖分類號(hào)：TN918.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-4311（2017）22-0204-02

0 引言

作為密碼學(xué)的核心，公鑰密碼在信息安全中擔(dān)負(fù)著密鑰協(xié)商、數(shù)字簽名、消息認(rèn)證等重要角色。目前信息安全領(lǐng)域的核心體制是基于橢圓曲線的橢圓曲線密碼體制，簡(jiǎn)稱ECC，它是一類以橢圓曲線的數(shù)學(xué)理論為核心公鑰密碼體制。這種體制是在1985年由Neal Koblitz和Victor Miller分別獨(dú)立提出的，進(jìn)而一步一步發(fā)展為橢圓曲線在密碼學(xué)。隨著其不斷完善和成熟，應(yīng)用十分廣泛。這是因?yàn)楹推渌€密碼體制相比較而言，這類新的橢圓曲線密碼體制的最大優(yōu)點(diǎn)是短密鑰和計(jì)算效率高。而其安全的主要依據(jù)是建立在由其定義的某類橢圓曲線點(diǎn)群上的離散對(duì)數(shù)問題求解的困難性的基礎(chǔ)之上，這些橢圓曲線上離散對(duì)數(shù)的求解問題的難易程度要遠(yuǎn)遠(yuǎn)大于經(jīng)典的離散對(duì)數(shù)問題。

隨著密碼學(xué)的發(fā)展和需要，數(shù)字簽名方案體系隨之而出并成為密碼學(xué)的一個(gè)新的分支，特別是現(xiàn)在已經(jīng)成為當(dāng)今網(wǎng)絡(luò)信息安全中的核心技術(shù)之一。它在身份認(rèn)證、數(shù)據(jù)完整性評(píng)價(jià)、不可否認(rèn)性和匿名性驗(yàn)證等信息安全應(yīng)用領(lǐng)域中都有著重要的應(yīng)用。它要求簽名者用自己的私鑰對(duì)給定的消息進(jìn)行簽名，而同時(shí)驗(yàn)證者需要利用簽名者預(yù)先給定的公鑰并結(jié)合消息來(lái)檢驗(yàn)他的簽名是否有效。因此數(shù)字簽名方案成為開展電子商務(wù)信息安全的重要保障，并在實(shí)現(xiàn)客戶身份認(rèn)證、重要機(jī)密數(shù)據(jù)完整性和系統(tǒng)不可抵御性等領(lǐng)域都有重要的應(yīng)用前景。

本文的目的在于通過(guò)對(duì)已有的橢圓曲線密碼體制及數(shù)字簽名方案的研究分析，進(jìn)而從構(gòu)造可驗(yàn)證性、盲性、不可偽造性的一種新型的可驗(yàn)證的門限盲簽名方案入手，給出這種簽名體系改進(jìn)和進(jìn)一步優(yōu)化的幾點(diǎn)建議，以供設(shè)計(jì)者甄別。

1 橢圓曲線數(shù)字簽名方案設(shè)計(jì)

在ISO7498—2標(biāo)準(zhǔn)中，數(shù)字簽名方案的定義是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或者是對(duì)一些數(shù)據(jù)單元所作的密碼新變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者利用并用以確認(rèn)數(shù)據(jù)單元的來(lái)源和數(shù)據(jù)單元的完整性，進(jìn)而保護(hù)數(shù)據(jù)安全，以防止被人（例如接收者）進(jìn)行偽造。

在上述的數(shù)字簽名方案中，要求加密變換使用的密鑰和解密變換使用的密鑰必須是完全相同的一串密鑰，而這個(gè)公共的密鑰必須以某種非常安全的方式告訴解密的一方。這就是所謂的公鑰密碼體制。它使用的密鑰被人們分解為一對(duì)，即就是一把公鑰密碼和一把私鑰密碼。要求私鑰安全保密就可以了，公鑰密碼是可以公開的，也可以將其發(fā)到因特網(wǎng)等公開地方供別人查詢和下載使用。

1.1 基于橢圓曲線的數(shù)字簽名方案

數(shù)字簽名的過(guò)程如圖1所示。

1.2 橢圓曲線數(shù)字簽名算法（ECDSA）

研究者開始只是使用橢圓曲線算法對(duì)數(shù)字簽名算法進(jìn)行模擬實(shí)驗(yàn)。直到1999年，ECDSA才被ANSI確定為一種新的數(shù)字簽名標(biāo)準(zhǔn)ANSI X9.62-1998，這是由于基于橢圓曲線離散對(duì)數(shù)問題的數(shù)字簽名算法要遠(yuǎn)遠(yuǎn)難于經(jīng)典的離散對(duì)數(shù)問題，而且基于橢圓曲線的密碼系統(tǒng)的單位比特強(qiáng)度也是要遠(yuǎn)遠(yuǎn)高于經(jīng)典離散對(duì)數(shù)系統(tǒng)的，因此，其安全性更高、更可靠。

避免求k逆的簽名過(guò)程如圖2所示。

2 基于橢圓曲線的新型門限簽名方案

一種簽名方案如果能夠?qū)崿F(xiàn)其秘密共享效果就可以發(fā)展為一種新的門限簽名方案，也就是說(shuō)，如果人們不能簡(jiǎn)單地把秘密共享方案和簽名方案結(jié)合起來(lái)則其就是門限簽名方案。因?yàn)槿粢鶕?jù)秘密共享方案分割密鑰的話，等到用時(shí)再將其合成，則這種方法固然是不可取的。因此，一個(gè)科學(xué)的門限簽名方案是每一個(gè)成員需要對(duì)消息使用自己的子密鑰簽名從而得到部分簽名，而簽名機(jī)構(gòu)每次即就是使用N個(gè)部分簽名也無(wú)法獲得整個(gè)簽名的任何真實(shí)信息，并且由已知的部分簽名不能獲得密鑰和子密鑰的任何相關(guān)信息。

截止目前，和門限簽名方案研究相關(guān)的新的研究方向有：向前安全的門限簽名方案、動(dòng)態(tài)門限簽名方案和可證安全的門限簽名方案。

就向前安全的門限簽名方案而言，主要是盡量減少由于可能的密鑰泄露而帶來(lái)的對(duì)簽名安全的直接影響和相應(yīng)損失，即就是如果對(duì)手已經(jīng)在竊取了群體當(dāng)前時(shí)段的一些簽名密鑰的假設(shè)下，他也不能偽造此群體這一時(shí)段的數(shù)字簽名，進(jìn)而保障數(shù)字簽名的安全性。

而動(dòng)態(tài)門限簽名方案主要是基于門限簽名的理論基礎(chǔ)，但卻極大的減少了算法系統(tǒng)對(duì)其中誠(chéng)實(shí)成員數(shù)量的假設(shè)要求，在這個(gè)簽名方案中，改系統(tǒng)的生命期被設(shè)計(jì)者分成了若干個(gè)不定的時(shí)間段，同時(shí)要求在每個(gè)確定的時(shí)間段內(nèi)非誠(chéng)實(shí)成員要數(shù)量少于開始的門限值。在實(shí)際問題中，這種簽名方案能夠解決由簽名文件的重要性決定簽名者的數(shù)目的條件性問題。例如，一個(gè)非常重要的文件需要較多的簽名者以增強(qiáng)其安全性，而一個(gè)普通文件則只需要較少的簽名者而已。

最后，可證安全的門限簽名方案則主要是解決以往門限簽名方案中可能存在的可公開驗(yàn)證性和成員誠(chéng)實(shí)性熱點(diǎn)問題，它的密鑰生成則只要求成員之間協(xié)商完成即可，而不需要由可信中心來(lái)協(xié)調(diào)，解決了以往方案中過(guò)分依賴于可信中心和可信中心權(quán)力過(guò)大核心問題。因此，該方案是健壯的和具有對(duì)適應(yīng)性選擇消息攻擊是不可偽造的特征。

3 安全性分析與建議

3.1 需進(jìn)一步增強(qiáng)簽名的盲性特征

在整個(gè)門限簽名方案的設(shè)計(jì)過(guò)程中，要求用戶和每個(gè)簽名者都需要將其事先協(xié)商好的公共信息嵌入到已有的簽名過(guò)程中去，這樣就可以首先保證簽名的部分性特征，而且一旦用戶將盲化因子引入到已有的簽名中的話，其他可能的人（這包括簽名群體中的每個(gè)簽名者）想試圖求出參數(shù)值是困難的，因而，試圖由盲消息得到原消息的內(nèi)容也是十分困難的。這里，可以引入數(shù)學(xué)中的模型和特殊群的結(jié)構(gòu)設(shè)計(jì)加以優(yōu)化，所以增加數(shù)字簽名方案的盲性設(shè)置和進(jìn)一步優(yōu)化方案設(shè)計(jì)都可以增強(qiáng)方案的安全性。

3.2 不斷提高簽名的不可偽造性

在已有的門限簽名方案中，我們假設(shè)方案最大能夠容忍入侵度為T-1，即就是攻擊者至多可勾結(jié)T-1個(gè)秘密分享者進(jìn)行攻擊。假設(shè)若A要假冒B中的某個(gè)用戶對(duì)消息進(jìn)行部分簽名的話，他需要構(gòu)造出被驗(yàn)證方接受的密鑰信息，但是在他不知道中心私鑰或B中任何子成員的子密鑰的情況下，他要求解參數(shù)間的等價(jià)問題和求解對(duì)應(yīng)的橢圓曲線的離散對(duì)數(shù)問題，都是是十分困難的，若我們能夠找到數(shù)學(xué)中的一些特殊結(jié)構(gòu)的橢圓曲線來(lái)刻畫這一問題，就可以提高算法的安全性。因此，研究者提高中心密鑰的不可偽造性及其選取合適的橢圓曲線是提高簽名的不可偽造性的有效途徑。

4 結(jié)論

我們知道，數(shù)字簽名的目的就是想通過(guò)數(shù)字方式實(shí)現(xiàn)在實(shí)際通訊中通信雙方的身份驗(yàn)證問題，保證互通消息的真實(shí)性和完整性。但是在現(xiàn)代社會(huì)的實(shí)際問題中若需要多個(gè)人同時(shí)參與才能生成簽名的情況下，則我們發(fā)現(xiàn)門限簽名是較好的選擇。門限簽名可以滿足很多實(shí)際應(yīng)用的要求，具有廣泛的應(yīng)用前景和市場(chǎng)。

參考文獻(xiàn)：

[1]宋震等.密碼學(xué)[M].中國(guó)水利水電出版社，2002：129-135.

[2]Stinso D R 著，馮登國(guó).譯.密碼學(xué)原理與實(shí)踐[M].電子工業(yè)出版社，2003：87-90.

[3]張偉.ECDSA算法實(shí)現(xiàn)及其安全性分析[J].信息與電子工程，2003，1（2）：26-33.

[4]羅浩，黃雙慶，劉金龍，喬秦寶.橢圓曲線簽名方案[J].理學(xué)版武漢大學(xué)學(xué)報(bào)，2003，49（1）：17-23.

[5]Koblitz N. Elliptic curve cryptosystems Mathematics of Computation[M].世界圖書出版社，1987：98-109.

[6]Koblitz N. Introduction to Elliptic curves and Modular Forms[M].世界圖書出版社，2003：32-55.