侯整風(fēng)(1958-),男,安徽和縣人,合肥工業(yè)大學(xué)教授,碩士生導(dǎo)師.

改進(jìn)的代理盲簽名方案

林振宇,賀亞威,侯整風(fēng)

(合肥工業(yè)大學(xué) 計(jì)算機(jī)與信息學(xué)院,安徽 合肥230009)

摘要:針對DLP問題代理盲簽名方案不滿足不可偽造性和不可鏈接性的缺陷,文章提出一個(gè)改進(jìn)的代理盲簽名方案。方案在盲簽名階段引入了代理簽名者的私鑰,能夠抵御原始簽名者的偽造攻擊。同時(shí)改進(jìn)了消息盲化過程,避免了代理簽名者的鏈接性攻擊。分析結(jié)果表明,改進(jìn)后的代理盲簽名方案具有更高的安全性。

關(guān)鍵詞:數(shù)字簽名;盲簽名;簽名代理;偽造攻擊;鏈接性

收稿日期：2014-01-28；修回日期：2014-04-01

基金項(xiàng)目：國家自然科學(xué)基金資助項(xiàng)目(61272540);安徽省自然科學(xué)基金資助項(xiàng)目(11040606M138)

作者簡介：林振宇(1986-),男,安徽淮北人,合肥工業(yè)大學(xué)碩士生;

doi:10.3969/j.issn.1003-5060.2015.01.009

中圖分類號(hào):TN918.912文獻(xiàn)標(biāo)識(shí)碼：A

Animprovedproxyblindsignaturescheme

LINZhen-yu,HEYa-wei,HOUZheng-feng

(SchoolofComputerandInformation,HefeiUniversityofTechnology,Hefei230009,China)

Abstract:The proxy blind signature scheme based on DLP problem can not satisfy the requirement of unforgeability and unlinkability. To solve these problems, an improved proxy blind signature scheme is put forward. The proxy signer’s private key is introduced in the blind signature stage, which can resist the original signer’s forgery attack. At the same time, the message blinding process is improved, which can avoid the proxy signer’s linkability attack. The analysis results show that the improved proxy blind signature scheme is more secure.

Keywords:digitalsignature;blindsignature;proxysignature;forgeryattack;linkability

0引言

文獻(xiàn)[1]提出了盲簽名的概念,并給出了一個(gè)基于大數(shù)分解問題的盲簽名方案。盲簽名具有盲性和不可追蹤特性,適用于電子貨幣和匿名投票系統(tǒng)[2-5]。文獻(xiàn)[6]提出了代理簽名,即簽名者授權(quán)其他人代理自己簽名。文獻(xiàn)[7]提出了代理盲簽名,即原始簽名者授權(quán)代理簽名者對消息進(jìn)行盲簽名。代理盲簽名具有廣闊的應(yīng)用前景,例如在商業(yè)或者政務(wù)處理中,高層管理者不能及時(shí)對文件進(jìn)行簽名,而下屬管理人員又不具備閱讀文件的權(quán)利,可以使用代理盲簽名解決上述問題。

文獻(xiàn)[8]提出了一種基于Schnorr的代理盲簽名方案；文獻(xiàn)[9]基于Mambo代理簽名提出一種代理盲簽名方案。上述方案在代理授權(quán)階段需要安全信道。文獻(xiàn)[10]提出了一種基于DLP問題的代理盲簽名方案,該方案不需要安全信道,由原始簽名者生成代理授權(quán)書,能夠避免信道不安全的隱患；文獻(xiàn)[11]指出文獻(xiàn)[10]的方案不滿足不可偽造性和不可鏈接性,原始簽名者通過構(gòu)造代理私鑰能夠偽造代理盲簽名,代理簽名者通過簽名和保留的簽名參數(shù)能夠追蹤到代理盲簽名。

本文對文獻(xiàn)[10]的方案進(jìn)行改進(jìn),改進(jìn)方案能夠避免原始簽名者的偽造攻擊和代理簽名者的鏈接性攻擊。

1文獻(xiàn)[10]方案

方案的參與者包括原始簽名者A、代理簽名者B和簽名接受者R。

1.1　初始化階段

選擇滿足安全性要求的大素?cái)?shù)p和q,其中q為p-1的大素?cái)?shù)因子,然后選擇 g，其值在 1 和 p 之間且滿足gq≡1(modp)；h為安全的哈希雜湊函數(shù)；A、B、R的密鑰對分別為:

xA,yA=gxAmodp;

xB,yB=gxBmodp;

xR,yR=gxRmodp。

mwΓ為A制定的代理授權(quán)書,包括A和B的標(biāo)識(shí)、B的代理期限、代理簽名消息的范圍等。

1.2　代理授權(quán)階段

rA=gkAmodp,

sA=xAh(mwΓ,rA) +kAmodq，

其中，(rA,sA)為A對mwΓ的數(shù)字簽名。

A向B發(fā)送代理信息(rA,sA,mwΓ),不需要安全信道,這是因?yàn)閙wΓ已經(jīng)指明代理簽名者B的標(biāo)識(shí),其他人獲得代理信息是沒有意義的,而且(rA,sA)為A對mwΓ的數(shù)字簽名,(rA,sA,mwΓ)為不能更改和偽造的。

1.3　簽名生成階段

代理簽名者B使用代理私鑰xp完成對消息m的簽名,簽名過程如下:

r=gkmodp,

然后把 (rA, r, mwΓ)傳給簽名接受者R。

(2)R隨機(jī)選擇α,β∈RZq*,并計(jì)算

把e傳給代理簽名者B。

(3)B計(jì)算s=k+expmodq,并把s傳給簽名接受者R。

R接受 (m,(mwΓ,rA),(e′,s′)) 作為A的代理盲簽名。

1.4　簽名驗(yàn)證階段

(2) 驗(yàn)證下面等式:

如果該等式成立,則代理盲簽名(m,(mwΓ,rA), (e′,s′))有效;否則,簽名無效。

2文獻(xiàn)[10]方案的安全漏洞

文獻(xiàn)[11]對文獻(xiàn)[10]提出的方案進(jìn)行了安全性分析,認(rèn)為該方案不滿足代理盲簽名的不可偽造性和不可鏈接性,并給出了攻擊方法。

2.1　原始簽名者偽造攻擊

文獻(xiàn)[11]給出一種偽造攻擊,不誠實(shí)的原始簽名者可以偽造代理簽名密鑰,從而生成有效的代理簽名。攻擊方案如下:

此時(shí)yp′=gxp′modp，原始簽名者A把xp′ 當(dāng)成代理簽名密鑰對R的消息m進(jìn)行簽名。

將e傳給A。

(3)A計(jì)算s=k+exp′modq,A將s傳給R。

(4)R收到s后驗(yàn)證

是否成立。若成立則計(jì)算s′=(αs+β)modq。該等式是否成立驗(yàn)證如下:

gxA′+h(mwΓ,rA′) gvmodp=gxp′modp=yp。

即等式成立,則簽名有效。

由此可得,不誠實(shí)的原始簽名者可以成功地偽造代理盲簽名。

2.2　鏈接性攻擊

代理簽名者B可以保留很多類似(ki,ei,si,ri)的簽名對,當(dāng)簽名接收者公布最終簽名(m, (mwΓ,rA),(e′,s′)),對每一個(gè)i計(jì)算:

然后驗(yàn)證等式r″=rαgβ是否成立。其中r可以從ri中選擇,該等式永遠(yuǎn)成立,即表明文獻(xiàn)[10]的方案滿足不可鏈接性。但是

即等式對于所有的i不是永遠(yuǎn)成立的。當(dāng)ri=r,αi′=α,βi′=β時(shí),r″=rαgβ,這個(gè)消息與代理簽名人產(chǎn)生簽名相關(guān),即代理簽名人能夠追蹤其產(chǎn)生的簽名,把其簽名和公布的消息聯(lián)系起來。

3本文方案

針對文獻(xiàn)[10]方案的安全漏洞,本文提出改進(jìn)的代理盲簽名方案。該方案能夠避免原始簽名者的偽造攻擊和代理簽名者的鏈接性攻擊。

3.1　符號(hào)說明

設(shè)A為原始簽名者；B為代理簽名者；R為簽名接收者；p和q為大素?cái)?shù),其中q是p-1的大素?cái)?shù)因子；1≤g≤p且gq=1(modp)；h為安全的哈希雜湊函數(shù)；(xA,yA)為原始簽名者A的私鑰和公鑰；(xB,yB)為代理簽名者B的私鑰和公鑰；(xR,yR)為簽名接受者R的私鑰和公鑰；mwΓ為代理授權(quán)書,包括A和B的標(biāo)識(shí)、B的代理期限和簽名消息的范圍等。

3.2　代理授權(quán)階段

rA=gkAmodp,

sA=xAh(mwΓ,rA) +kAyBmodq,

A將(rA, sA,mwΓ)發(fā)送給代理簽名者B。

代理簽名者B收到代理信息(rA,sA,mwΓ)后,驗(yàn)證

(1)

若(1)式成立,則生成代理私鑰xp和代理公鑰yp，即

xp=sA+xBmodp,

yp=gxpmodp=gsA+xBmodp=

gxAh(m,rA) +kAyB+xBmodp=

3.3　盲簽名階段

B選擇k∈RZq*,并計(jì)算

r=gkmodp,

將 (rA, r, mwΓ)發(fā)送給簽名接受者R。R隨機(jī)選擇α,β,γ∈RZq*并計(jì)算:

(2)

(3)

將e傳給代理簽名者B。B計(jì)算:

s=k+e(xB+xp)modq

(4)

將s傳給R。R接收到s后驗(yàn)證:

gs=r(yByp)emodp

(5)

若(5)式成立,R計(jì)算:

(6)

簽名接收者R接受(m,(mwΓ,rA),(e′,s′))作為原始簽名者A的代理盲簽名;若(5)式不成立,則代理盲簽名無效。

本方案對文獻(xiàn)[10]方案的改進(jìn):

(1) 在計(jì)算s的過程中加入了B的私鑰xB,對傳輸?shù)南⑦M(jìn)行了一次加密,能夠避免原始簽名者的偽造攻擊。

(2)R在盲簽名階段通過引入隨機(jī)參數(shù)γ,改進(jìn)消息m的盲化過程,避免了代理簽名者的鏈接性攻擊。

3.4　簽名驗(yàn)證階段

驗(yàn)證下面等式:

(7)

若該等式成立,則代理盲簽名(m,(mwΓ,rA),(e′,s′))有效;否則,簽名無效。(7)式驗(yàn)證如下:

4安全性分析

4.1　不可偽造性

(1) 原始簽名者不能偽造代理盲簽名。根據(jù)(4)式可知,原始簽名者A計(jì)算s需要代理簽名者的私鑰xB,但是xB是不公開的,所以A即使能夠偽造代理私鑰xp也無法計(jì)算出s。因?yàn)闊o法計(jì)算出s,所以偽造簽名的過程無法繼續(xù)。因此,原始簽名者A不能偽造代理盲簽名。

(2) 簽名接受者R不能偽造代理盲簽名。如果R能夠偽造代理盲簽名 (m,(mwΓ,rA),(e′,s′)),就必須獲得s′。由(4)式、(6)式可知：

s=k+e(xB+xp)modq。

所以R必須知道xB和xp,才能計(jì)算出s′。因?yàn)閤B和xp是不公開的,所以R不能偽造代理盲簽名。

4.2　不可鏈接性

現(xiàn)在考慮鏈接性。B已知第i次代理盲簽名保留的簽名對(ki,ei,si,ri)和代理盲簽名(m,(mwΓ,rA),(e′, s′)),根據(jù)(3)式有:

根據(jù)(6)式有:

根據(jù)(2)式、(7)式有:

但是γi′是未知的,所以B無法計(jì)算出αi′、βi′、r″。因?yàn)锽無法計(jì)算出r″,也不能驗(yàn)證r″=rαgβ(yByp)-γ是否成立,即B無法通過已知參數(shù)(ki,ei,si,ri)和代理盲簽名(m,(mwΓ,rA),(e′,s′))的關(guān)聯(lián)性來追蹤簽名。

從上述分析可知,由于在消息盲化的過程中添加了新的隨機(jī)參數(shù)γ,即使代理簽名者B保留了類似(ki,ei,si,ri)的簽名對和簽名(m,(mwΓ,rA),(e′,s′)),也無法計(jì)算r″,更不能關(guān)聯(lián)簽名對和代理盲簽名,所以不能追蹤到簽名。因此,改進(jìn)方案能夠避免代理簽名者的鏈接性攻擊。

4.3　不可否認(rèn)性和不可篡改性

如果代理盲簽名(m,(mwΓ, rA),(e′,s′))是有效的,根據(jù)代理授權(quán)書mw?？芍狝是原始簽名者、B是代理簽名者,A和B不能否認(rèn)自己參與代理盲簽名的產(chǎn)生,所以改進(jìn)方案滿足不可否認(rèn)性。

如果消息m被篡改為m′,驗(yàn)證等式e′=h(m‖gs′(yByp)-e′)modp不成立,代理盲簽名(m,(mwΓ, rA),(e′,s′))就不是有效的代理盲簽名,所以改進(jìn)方案滿足不可篡改性。

5結(jié)束語

本文回顧了文獻(xiàn)[10]的代理盲簽名方案和文獻(xiàn)[11]的偽造攻擊和鏈接性攻擊方法。針對文獻(xiàn)[10]方案的缺陷,提出了一種改進(jìn)的代理盲簽名方案。該方案不僅滿足代理盲簽名的一般特性,而且能夠避免原始簽名者的偽造攻擊和代理簽名者的鏈接性攻擊。相比于文獻(xiàn)[10]的方案,本方案具有更高的安全性。

[參考文獻(xiàn)]

[1]ChaumD.Blindsignatureforuntraceablepayments[C]//ProcofCrypto’82.BurgFeuerstein，Germany:PlenumPress，1983:199-203.

[2]付雄，程文青，郎為民.安全電子支付系統(tǒng)研究[J].計(jì)算機(jī)科學(xué)，2005，32(1):108-109.

[3]于寶證.基于群盲簽名的多銀行電子現(xiàn)金系統(tǒng)研究[D].合肥：合肥工業(yè)大學(xué)，2005.

[4]ChenYY，JanJK,ChenCL.ThedesignofasecureanonymousInternetvotingsystem[J].Computers&Security，2004,23(4):330-337.

[5]葉震,高翔.基于環(huán)簽名和盲簽名的電子選舉協(xié)議[J].合肥工業(yè)大學(xué)學(xué)報(bào):自然科學(xué)版,2008,31(11):1786-1789.

[6]MamboM，UsudaK，OkamotoE.Proxysignaturesfordelegatingsigningoperation[C]//Procof3rdACMConferenceonComputerandCommunicationsSecurity，1996:48-57.

[7]LINWD，JANJK.Asecuritypersonallearningtoolsusingaproxyblindsignaturescheme[C]//ProcofInternationalConferenceonChineseLanguageComputing,Illinois，USA，2000: 273-277.

[8]TanZW，LiuZJ，TangCM.DigitalproxyblindsignatureschemesbasedonDLPandECDLP[Z].MMResarchPreprints，No21,2002:212-217.

[9]AwasthiAK，LalS.Proxyblindsignaturescheme[J].JFCRTransactiononCryptology,2005,2(1): 5-11.

[10]谷利澤，張勝，楊義先.代理盲簽名方案及其在電子貨幣中的應(yīng)用[J].計(jì)算機(jī)工程，2005，31(16): 11-13.

[11]王國瞻,亢保元,成林.一個(gè)代理盲簽名方案的分析[J].計(jì)算機(jī)工程，2010，36(3):134-135.

(責(zé)任編輯馬國鋒)