廖小平

(四川文理學(xué)院 智能制造學(xué)院， 達(dá)州 635000)

0 引言

數(shù)字簽名的概念首先由Diffie和Hellman[1]利用公鑰密碼的思想在1976年提出。隨著研究的深入，許多具有特殊性質(zhì)的數(shù)字簽名方案相繼被提出，如1983年，David Chaum提出盲簽名[2]、1996年，Mambo提出代理簽名[3]，1997年，R.Anderson[4]提出前向安全的概念，近年來，將多種技術(shù)相結(jié)合設(shè)計(jì)新的具有特殊性質(zhì)的數(shù)字簽名方案越來越受到重視。肖紅光[5]等人提出了首個(gè)前向安全代理盲簽名方案，盧書一碩士論文[6]對肖紅光的文章進(jìn)行了分析。指出該方案簽名不具有前向安全性，前向安全性只限于代理密鑰，并給出了攻擊者利用交互協(xié)議與代理簽名人偽造簽名的過程，然后給出了一個(gè)改進(jìn)的方案(LSY方案)，但經(jīng)分析發(fā)現(xiàn)，LSY方案中存在公鑰替換攻擊缺陷，即簽名方案中用到的公鑰沒有經(jīng)過認(rèn)證，可能是偽造的，存在公鑰替換攻擊。因此，必須對公鑰進(jìn)行認(rèn)證，即確認(rèn)所使用的公鑰確實(shí)是通信方的而不是其他人的。目前，對公鑰進(jìn)行認(rèn)證可以采用基于傳統(tǒng)公鑰證書的公鑰密碼體制，但此機(jī)制存在復(fù)雜的公鑰證書管理問題，也可以利用基于身份密碼體制[7]，但此機(jī)制存在“密鑰托管”問題，為了解決“復(fù)雜的公鑰證書管理問題”和“密鑰托管問題”，2003年，AI-Riyami等提出了無證書密碼體制[8]，相繼設(shè)計(jì)了許多簽名和加密方案[9-11]，這種密碼體制是通過某種方法來保障簽名者公鑰的真實(shí)性和有效性，并且用戶的簽名密鑰是由用戶和密鑰生成中心共同生成，密鑰生成中心不知道用戶最后的簽名私鑰，也就無法偽造用戶的授權(quán)以及簽名。本文基于無證書密碼體制提出一種改進(jìn)方案，改進(jìn)方案具有原方案安全性的同時(shí)也具有無證書密碼體制的特點(diǎn)。

1 LSY方案的安全性分析

LSY方案請參見文獻(xiàn)[6]，此處對方案進(jìn)行安全性分析。原始簽名人A給代理簽名人B授權(quán)的過程中，存在攻擊者偽造原始簽名人A的公鑰通過驗(yàn)證，即任何攻擊者都可以偽造原始簽名人A的公鑰，并且通過驗(yàn)證，具體攻擊過程如下：

所以，任何攻擊者都可以偽造原始簽名人A的公鑰發(fā)送給代理簽名人B，并通過驗(yàn)證，因此，惡意的攻擊者可以濫用授權(quán)信息給代理簽名人B進(jìn)行授權(quán)，并聲稱該授權(quán)是原始簽名人A產(chǎn)生的，進(jìn)而對原始簽名人A進(jìn)行誣陷，所以該方案存在公鑰替換攻擊問題。

2 方案的改進(jìn)

2.1 初始化階段

(1)選擇一個(gè)正整數(shù)n，選擇兩個(gè)大素?cái)?shù)p,q，GF(n)是一個(gè)有限域，g∈RZ是生成元，階為q，并且滿足gq≡1 modn， 選擇x為系統(tǒng)主密鑰，計(jì)算出系統(tǒng)主公鑰：Ppub=gxmodn

(2)A為原始簽名人，A的身份信息為IDA，計(jì)算：QA=H1(IDA)，DA=xQA，則DA為A的部分私鑰。B為代理簽名人，B的身份信息為IDB，計(jì)算：QB=H1(IDB)，DB=xQB，則DB為B的部分私鑰。C為信息m的擁有者，C的身份信息為IDC，計(jì)算：QC=H1(IDC)，DC=xQC，則DC為C的部分私鑰。

(3)A任意選擇xA為秘密值，計(jì)算出A的私鑰：sA=xADA，A的公鑰：yA=gsAmodn，B任意選擇xB為秘密值，計(jì)算出B的私鑰：sB=xBDB，B的公鑰：yB=gsBmodn，C任意選擇xC為秘密值，計(jì)算出C的私鑰：sC=xCDC，C的公鑰：yC=gsCmodn。

2.2 代理授權(quán)階段

2.3 密鑰更新階段

2.4 前向安全代理盲簽名的產(chǎn)生階段

代理簽名人B和信息擁有者C共同產(chǎn)生代理盲簽名。

(1)信息盲化階段

step 1: B任意選擇kB∈RZ，計(jì)算：t=gσjkBmodp，然后通過安全信道將(mw,rA,t)發(fā)送給C。

(2)簽名階段

B接收到u′后，計(jì)算：s′=σju′+σjkBmodq，則消息m的盲簽名為(s′,u′)，將s′通過安全信道發(fā)送給C。

(3)脫盲階段

C接收到s′后，計(jì)算：s=(s′+βsC) modq，則[j,m,mw,(r,s,u)]為代理簽名人B代表原始簽名人A對消息m的盲簽名。

2.5 驗(yàn)證階段

3 方案安全性分析

3.1 正確性

r′=gsyTmodp=gs′+βxCyTmodp

=gσju′+σjkB+βxCyT=gσju′+σjkB+βxCgσjmodp

=gσj(α-u)+σjkB+βxCgσjmodp

=gσjα-σju+σjkB+βxCgσjmodp

=gσjα-σju+σjkB+βxC+umodp

=gσjα+σjkB+βxCmodp

=gσjα+σjkB+βxCmodp

=gσjαgσjkBgβxCmodp

=yTtyCmodp

=r

3.2 不可偽造性分析

(1)代理授權(quán)安全性：

(2)用戶簽名密鑰、公鑰安全性：

原始簽名人A的私鑰：sA=xADA=xAxQA=xAxH1(IDA)中包含A任意選擇的秘密值xA，系統(tǒng)主密鑰x，即A的私鑰是由密鑰生成中心和用戶任意選擇的秘密值構(gòu)成，密鑰生成中心不知道A最后的簽名密鑰，也就無法偽造用戶的簽名以及授權(quán)，任何攻擊者無法知道用戶任意選擇的秘密值也就無法偽造用戶的簽名密鑰，同理，代理簽名者B，信息擁有者C的密鑰具有同樣的不可偽造性，

綜述所述，新方案中，原始簽名者A，代理簽名者B，信息擁有者C的簽名密鑰是安全的，又因?yàn)楣€是通過密鑰生成的，所以攻擊者無法偽造其公鑰。

3.3 盲性分析

3.4 不可追蹤性分析

3.5 前向安全性分析

3.6 不可否認(rèn)性

(1)原始簽名者A無法否認(rèn)給代理簽名者B的授權(quán)信息

(2)代理簽名者B無法否認(rèn)對信息m的簽名

(3)信息擁有者C無法否認(rèn)自己提供的信息

在脫盲階段：s=(s′+βsC) modq中包含信息擁有者C的密鑰sC，所以信息擁有者C無法否認(rèn)自己提供的信息m

綜上所述，原始簽名者A無法否認(rèn)為代理簽名者B授過權(quán)，代理簽名者B無法否認(rèn)對信息m的代理簽名，信息擁有者C無法否認(rèn)提供的信息m。

4 總結(jié)

本文經(jīng)安全分析，指出LSY方案存在公鑰替換攻擊問題，同時(shí)，基于無證書密碼體制提出了一個(gè)改進(jìn)方案，改進(jìn)方案解決了公鑰認(rèn)證問題，經(jīng)安全分析，該方案是正確的，不可偽造的，密鑰更新和代理盲簽名都具有前向安全性。