張永潔 張玉磊 王彩芬

1(甘肅衛(wèi)生職業(yè)學院 甘肅 蘭州 730000) 2(西北師范大學計算機科學與工程學院 甘肅 蘭州 730070)

?

聚合簽名方案的安全性分析與改進

張永潔1張玉磊2王彩芬2

1(甘肅衛(wèi)生職業(yè)學院 甘肅 蘭州 730000)2(西北師范大學計算機科學與工程學院 甘肅 蘭州 730070)

聚合簽名可以降低簽名的驗證開銷和簽名的長度。分析三個無證書聚合簽名方案的安全性，指出它們不能抵抗無證書公鑰密碼系統(tǒng)的一般用戶公鑰替換攻擊和惡意密鑰生成中心KGC偽造攻擊。其中，Chen方案和喻方案既不能抵抗公鑰替換攻擊，也不能抵抗KGC被動攻擊；張方案不能抵抗KGC主動攻擊。通過具體的攻擊算法和原因分析，證明該類方案不安全。對張方案進行改進，改進的方案增強了原方案的安全性。

無證書公鑰密碼 聚合簽名 密鑰生成中心 被動攻擊 主動攻擊

0 引 言

聚合簽名[1]能夠把多個同類簽名聚合轉(zhuǎn)換成單個簽名，實現(xiàn)對多個用戶身份的驗證。聚合簽名技術(shù)能夠降低簽名的驗證計算量，縮短簽名的長度[2-3]。

2001年，Al-Riyami等[4]提出無證書公鑰密碼體制。無證書公鑰密碼體制中，用戶的私鑰由部分私鑰和秘密值組成。這樣，可以克服身份公鑰密碼體制[5]的密鑰托管問題，簡化傳統(tǒng)公鑰密碼的證書管理問題?；跓o證書公鑰密碼的優(yōu)勢，研究者們對無證書密碼方案進行了一定的研究[6-8]。

2007年，Gong等[9]提出無證書聚合簽名安全模型。2010年，Zhang等[10]完善了無證書聚合簽名方案的安全模型。自此，研究者對該類簽名進行了相關(guān)研究[11-18]。

無證書聚合簽名包含AI和AII兩類攻擊者[9]。AI表現(xiàn)為一般用戶，它不能獲得系統(tǒng)主密鑰，但可以實現(xiàn)公鑰替換攻擊；AII表現(xiàn)為惡意KGC，它能夠利用系統(tǒng)主密鑰計算用戶的部分私鑰。惡意KGC攻擊分為KGC被動攻擊和KGC主動攻擊[15]。KGC被動攻擊是指KGC能夠利用部分私鑰進行簽名偽造，KGC主動攻擊是指KGC在系統(tǒng)建立過程中選擇有利的特殊系統(tǒng)參數(shù)。

分析Chen、喻琇瑛和張玉磊等人分別提出的無證書聚合簽名方案[12-14]的安全性，指出前兩個方案存在KGC攻擊和一般用戶公鑰替換攻擊，張方案存在KGC主動攻擊。針對三個方案，分別構(gòu)造了攻擊算法，證明以上三個方案不安全，可以實現(xiàn)偽造攻擊。對張方案進行改進。改進方案增強了原方案的安全性?；贑DH困難問題，證明改進方案滿足不可偽造性。

限于篇幅，略去對數(shù)學困難、雙線性對、無證書聚合簽名方案及安全模型的描述。

1 Chen方案安全性分析

首先回顧Chen方案[12]，然后描述具體的攻擊過程并分析方案存在攻擊的原因。

1.1 Chen具體方案

Chen方案主要包括以下算法。

(2) 部分私鑰生成算法：KGC計算部分私鑰Si=sQi。

(4) 簽名算法：用戶輸入公鑰Xi、私鑰(xi,Si)、消息mi和狀態(tài)信息Δ，執(zhí)行以下過程，其中1≤i≤n。

② 計算wi=H3(mi,Δ,IDi,Xi,Ri)，Vi=Si+wirixiD。

③ 輸出消息mi的簽名σi=(Ri,Vi)。

(6) 聚合簽名驗證算法：輸入用戶身份IDi、公鑰Xi、聚合簽名σ=(R1,R2,…,Rn,V)、消息mi及狀態(tài)信息Δ，執(zhí)行以下過程，其中，1≤i≤n。

① 計算wi=H3(mi,Δ,IDi,Xi,Ri)，Qi=H1(IDi)，1≤i≤n。

1.2 Chen方案安全性分析

1.2.1 KGC被動攻擊

當KGC獲得用戶對mi的簽名σi=(Ri,Vi)時，可以通過以下過程實現(xiàn)對新消息m′的簽名偽造。

(2) 偽造消息m′簽名。通過以下步驟偽造簽名：

② 輸出消息m′的偽造簽名σi=(Ri′,Vi′)。

(3) 驗證簽名σi=(Ri′,Vi′)的有效性。

由于以下驗證等式成立，因此，簽名σi=(Ri′,Vi′)有效，KGC被動攻擊成功。

e(P,Vi′)=e(P,Si+tiwi′(rixiD))=

e(Ppub,Qi)e(xiP,wi′tiriD)=

e(Ppub,Qi)e(Xi,wi′Ri′)=

e(Ppub,Qi)e(wi′Ri′,Xi)

由于

驗證等式成立，偽造的聚合簽名有效，KGC被動攻擊成功。

1.2.2 一般用戶公鑰替換攻擊

AI類攻擊者可以通過以下過程實現(xiàn)替換用戶公鑰實現(xiàn)，并通過獲得的簽名能夠獲得用戶的部分私鑰，進而可以進行簽名的偽造。

(4) 攻擊者利用部分私鑰和替換用戶公鑰的秘密值可以正常執(zhí)行簽名算法，進行各類簽名偽造。

1.2.3 原因分析

Chen方案不安全的主要原因表現(xiàn)在兩個方面：

①AII類攻擊者獲得用戶對mi的簽名σi=(Ri,Vi)后，能夠通過Vi、wi和Si=sQi計算表達式Vi=Si+wirixiD中的固定值rixiD，(其中D=H2(Δ)∈G1為固定值)。然后，KGC利用rixiD、Ri和Si成功偽造簽名。

② 當AI類攻擊者替換目標用戶的公鑰以后，可以選擇新消息并提交給簽名預(yù)言機，利用獲得的簽名σi=(Ri,Vi)可以計算出用戶的部分私鑰。一旦AI類攻擊者獲得用戶的部分私鑰，那么她可以代替用戶實現(xiàn)各種密碼學操作(包括簽名的偽造)。

2 喻方案安全性分析

2016年，胡等[16]指出喻方案[13]存在AI類一般用戶公鑰替換攻擊。經(jīng)過分析，喻方案同時存在AII類KGC被動攻擊。首先回顧喻方案，然后證明該方案存在AII類KGC被動攻擊并分析原因。

2.1 喻方案

(1) 簽名算法：用戶輸入身份IDi、公鑰pkIDi=xiP、私鑰(xi,dIDi=sQi)和消息mi，執(zhí)行以下過程。

① 計算W=H2(P,Ppub)，hi=H3(mi,IDi,pkIDi)。

(2) 聚合簽名算法：輸入簽名σi=(Ui,Vi)后，執(zhí)行以下過程，其中，1≤i≤n。

① 計算hi=H3(mi,IDi,pkIDi)，W=H2(P,Ppub)。

② 驗證e(P,Vi)=e(Ppub,Ui+hiQi)e(hipkIDi,W)等式是否成立。若成立，則接受簽名σi。

(3) 聚合簽名驗證算法：驗證者輸入用戶公鑰pkIDi、消息mi，以及聚合簽名σ=(U,V)，執(zhí)行以下過程。

① 計算Qi=H1(IDi)，hi=H3(mi,IDi,pkIDi)和W=H2(P,Ppub)，其中，1≤i≤n。

② 驗證等式是否成立

2.2 喻方案安全性分析

2.2.1 KGC被動攻擊

當KGC獲得用戶對mi的簽名δi=(Ui,σi=(Vi,Ri)時，可以通過以下過程實現(xiàn)對新消息的簽名偽造。

(2) 偽造消息m′的簽名。任意選擇Ui′∈G1，計算hi′=H3(m′,IDi,pkIDi),Vi′=sUi′+hi′(dIDi+xiW)，輸出偽造的簽名σi=(Ui′,Vi′)。

(3) 驗證簽名σi=(Ui′,Vi′)的有效性。由于

e(P,Vi′)=e(P,sUi′+hi′(dIDi+xiW))=

e(P,sUi′)e(P,hi′(dIDi+xiW))=

e(Ppub,Ui′+hi′Qi,)e(hi′pkIDi,W)

成立，因此，驗證等式成立，KGC被動攻擊成功。

由于

驗證等式成立，偽造的聚合簽名有效，KGC攻擊成功。

2.2.2 原因分析

3 張方案安全性分析

3.1 張方案

(1) 簽名算法：輸入身份IDi、公鑰Pi=xiP、私鑰(xi,Di=sQi)和消息mi，執(zhí)行以下過程。

② 計算Vi=Di+hiriT+xiQ，輸出消息mi對應(yīng)的簽名σi=(Ui,Vi)。

3.2 張方案安全性分析

張方案中若KGC在“系統(tǒng)建立算法”中選擇特殊的生成元Q=tP，則KGC很容易計算簽名表達式Vi=Di+hiriT+xiQ中的固定值xiQ。即使KGC不了解用戶的秘密值xi，也可以扮演合法用戶對任意消息偽造簽名。具體攻擊過程如下：

(2) 計算固定值。KGC計算xiQ=xitP=tPi。

(3) 偽造簽名并驗證。由于KGC了解部分私鑰，固定值xiQ，因此，它可以計算任意消息的簽名。

張方案的聚合簽名驗證等式中，由于沒有出現(xiàn)消息(m1,m2,…,mn)，因此，即使聚合驗證等式成立也無法保證簽名σ=(U,V)是用戶(u1,u2,…,un)對消息(m1,m2,…,mn)簽名的聚合，所以，張方案的聚合簽名構(gòu)造無效。

4 改進的無證書聚合簽名方案

4.1 具體的改進方案

為了提升張方案的安全性，克服KGC主動攻擊，本文提出一個改進的無證書聚合簽名方案。具體方案如下：

(2) 部分私鑰生成算法和用戶密鑰生成算法與原方案相同。其中，Qi=H1(IDi)，用戶完整私鑰和公鑰分別為(xi,Si=sQi)和Pi=xiP。

(3) 簽名算法：

② 計算T=H2(Ppub)，W=H3(Ppub)，Vi=Di+riT+hixiW，輸出消息mi的簽名σi=(Ui,Vi)。

(5) 聚合簽名驗證算法：

① 計算hi=H0(mi,IDi,Pi,Ui)，Qi=H1(IDi)和T=H2(Ppub)，W=H3(Ppub)。

4.2 改進方案的安全性證明

定理1如果敵手AI以不可忽略的概率實現(xiàn)簽名偽造，必定存在算法可以輸出CDH困難問題的解。改進方案針對AI類攻擊的不可偽造性證明過程與原方案相似，限于篇幅，略去該部分。以下證明改進方案針對AII類攻擊的不可偽造性。

定理2如果敵手AII以不可忽略的概率實現(xiàn)簽名偽造，必定存在算法B可以輸出CDH困難問題的解。

證明：挑戰(zhàn)者B輸入(P,aP,bP)，令Ppub=sP，系統(tǒng)參數(shù)為{G1,G2,e,P,Ppub,H0,H1,H2,H3}，發(fā)送系統(tǒng)參數(shù)和s給AII。

B通過列表L0～L3和L保存H0～H3預(yù)言機詢問、公鑰詢問和秘密值詢問過程中產(chǎn)生的數(shù)據(jù)。AII執(zhí)行以下詢問。

(2)H2詢問：B保持列表，若L2表存在詢問項則直接返回Ti；否則，B選擇并計算，增加到L2表并返回Ti。

(4) 秘密值詢問：AII詢問IDi秘密值時，B查L表，若存在對應(yīng)IDi則直接返回，否則B執(zhí)行“公鑰詢問”得到(IDi,xi,Pi,ci)。若ci=1，則終止；否則ci=0，B返回xi給AII。

因此，改進方案能夠抵抗AII惡意KGC的攻擊。

5 結(jié) 語

分析Chen方案、喻方案和張方案的安全性，指出它們存在一般用戶公鑰替換攻擊和KGC偽造攻擊。通過構(gòu)造的攻擊算法，證明Chen方案和喻方案無法抵抗公鑰替換攻擊和KGC被動攻擊，張方案無法抵抗KGC主動攻擊。最后，對張方案進行改進。改進方案不僅具有與原方案相同的計算效率，同時，改進的方案增強了原方案的安全性，可以抵抗AII攻擊。設(shè)計無證書聚合簽名方案時，不僅要考慮方案的計算效率，更要重視方案的安全性。

[1] Boneh D,Gentry C,Lynn B,et al.Aggregate and verifiably encrypted signatures from bilinear maps[C]//Proceedings of EUROCRYPT’03,Berlin,Springer-Verlag,2003:416-432.

[2] Chen C M,Lin Y H,Lin Y C,et al.RCDA:recoverable concealed data aggregation for data integrity in wireless sensor networks[J].IEEE Transactions on Parallel and Distributed Systems,2012,23(4):727-734.

[3] Xiong Hu,Wu Q H,Chen Z.An efficient provably secure certificateless aggregate signature applicable to mobile computation[J].Control and Cybernetics,2012,41(2):373-391.

[4] Al-riyami S S,Paterson K.Certificateless Public Key Cryptography[C]//Proceedings of the ASIACRYPT2003.Berlin,Germany:Springer-Verlag,2003:452-473.

[5] Shamir A.Identity-based cryptosystems and signature schemes[C]//Proceedings of the CRYPTO1984.Berlin,Springer,1985:47-53.

[6] Shen L,Zhang F,Sun Y.Efficient revocable certificateless encryption secure in the standard model[J].The Computer Journal,2014,57(4):592-601.

[7] 周彥偉,楊波,張文政.高效可證安全的無證書聚合簽名方案[J].軟件學報,2015,26(12):3204-3214.

[8] 孫銀霞,張福泰,沈麗敏.抗簽名密鑰泄露的可撤銷無證書簽名[J].軟件學報,2015,26(12):3196-3203.

[9] Gong Z,Long Y,Hong X,et al.Two certificateless aggregate signatures from bilinear maps[C]//Proceeding of the SNPD 2007.IEEE Computer Society,2007:188-193.

[10] Zhang Lei,Qin Bo,Wu Qianhong,et al.Efficient many-to-one authentication with certificateless aggregate Signatures[J].Computer Networks,2010,54(14):2482-2491.

[11] 杜紅珍,黃梅娟,溫巧燕.高效的可證明安全的無證書聚合簽名方案[J].電子學報,2013,41(1):72-76.

[12] Chen Yu-Chi,Horng Gwoboa,Liu Chao-Liang,et al.Efficient Certificateless Aggregate Signature Scheme[J].Journal of Electronic Science and Te6chnology,2012,10(3):209-214.

[13] 喻琇瑛,何大可.一種新的無證書聚合簽名[J].計算機應(yīng)用研究,2014,31(8):2485-2487.

[14] 張玉磊,周冬瑞,李臣意,等.高效的無證書廣義指定驗證者聚合簽名方案[J].通信學報,2015,36(2):1-8.

[15] Au M,Mu Y,Chen J,et al.Malicious KGC attack in certificateless cryptography[C]//Proceeding of the ASIACCS2007.NewYork,ACM Press,2007:302-311.

[16] 胡江紅,杜紅珍,張建中.兩類無證書聚合簽名方案的分析與改進[J].山東大學學報(理學版),2016,51(7):107-114.

SECURITYANALYSISANDIMPROVEMENTOFAGGREGATESIGNATURESCHEMES

Zhang Yongjie1Zhang Yulei2Wang Caifen2
1(GansuHealthVocationalCollege,Lanzhou730000,Gansu,China)2(CollegeofComputerScienceandEngineering,NorthwestNormalUniversity,Lanzhou730070,Gansu,China)

Aggregate signature can reduce the cost of signature verification and the length of the signature. First, we analyzed security of three certificateless aggregation signatures. We allowed certificateless public key cryptosystems to attack them. These attacks: general user public key replacement attack and malicious key generation center KGC forged attack. And Chen program and Yu scheme cannot resist the public key to replace the attack, nor resistance to KGC passive attack. Zhang program cannot resist KGC active attack. Through the specific attack algorithm and cause analysis, proved that the program is not safe. We improved the Zhang’s scheme to strengthen the security compared with the original program.

Certificate less public key cryptography Aggregate signature Key generation center Passive attack Initiative attack

2016-09-02。國家自然科學基金項目(61163038)；甘肅省高等學?？蒲许椖?2015B-220，2013A-014)。張永潔，副教授，主研領(lǐng)域：信息安全。張玉磊，副教授。王彩芬，教授。

TP309

A

10.3969/j.issn.1000-386x.2017.08.055