高 凡， 張大偉， 宋靖文， 孟吳同， 劉曉東

(1.北京交通大學(xué) 計(jì)算機(jī)與信息技術(shù)學(xué)院 北京 100044；2.山東大學(xué) 網(wǎng)絡(luò)信息安全研究所 山東 濟(jì)南 250000)

0 引言

在當(dāng)今高度信息化的時(shí)代，數(shù)字簽名得到了廣泛的應(yīng)用.然而標(biāo)準(zhǔn)數(shù)字簽名[1-2]在某些情況下會(huì)給簽名持有者造成一定約束，不能對(duì)已簽名的數(shù)據(jù)進(jìn)行合理的操作.Steinfeld等[3]于2001年最早提出了可截取簽名(content extraction signature,CES)的概念，并給出了具體方案.與標(biāo)準(zhǔn)數(shù)字簽名方案不同，可截取簽名體制允許簽名的持有者在不與原始簽名者進(jìn)行交互的情況下，根據(jù)自身需要，提取原消息中的部分內(nèi)容，并為這部分內(nèi)容計(jì)算一個(gè)可公開驗(yàn)證的簽名，驗(yàn)證時(shí)使用的是原始簽名者的公鑰.可截取簽名在某些領(lǐng)域有一定的應(yīng)用場(chǎng)景.劉軍龍等[4]于2006年提出了基于身份的可截取簽名方案，但方案中采用雙線性對(duì)運(yùn)算，效率有待提升.Yin等[5]于2010年提出了一種不含可信第三方的基于屬性的可截取簽名方案，與文獻(xiàn)[4]相比，減少點(diǎn)乘和哈希運(yùn)算的次數(shù)，提高計(jì)算效率.曹素珍等[6]于2012年提出了一種不含雙線性對(duì)的可截取簽名方案，用指數(shù)運(yùn)算代替對(duì)運(yùn)算，從而提高方案效率，之后又于2013年提出了一種基于離散對(duì)數(shù)問題的可截取簽名方案[7]，進(jìn)一步減少了指數(shù)運(yùn)算的次數(shù).劉慶華等[8]于2013年提出了一種高效的無證書內(nèi)容可截取簽名方案[9]，用橢圓曲線上的標(biāo)量點(diǎn)乘運(yùn)算取代雙線性對(duì)，進(jìn)一步提高效率.

截止到目前，可截取簽名方案大部分是基于雙線性對(duì)運(yùn)算或者大數(shù)因子分解問題，只有少部分是基于離散對(duì)數(shù)問題，并且還沒有人將國(guó)密算法SM2與可截取簽名相結(jié)合.為此，本文將可截取簽名與國(guó)密算法SM2相結(jié)合，提出了一種基于橢圓曲線離散對(duì)數(shù)問題的無證書可截取簽名方案，避免傳統(tǒng)公鑰密碼系統(tǒng)的公鑰驗(yàn)證和基于身份的密碼系統(tǒng)[10]的私鑰托管問題.與文獻(xiàn)[8]相比，計(jì)算效率有所提升，并且在隨機(jī)預(yù)言模型中是可證安全的，在適應(yīng)性選擇消息攻擊下存在不可偽造性.

1 可截取簽名定義

在可截取簽名方案中，將原消息M看作一個(gè)集合型數(shù)據(jù)，由n個(gè)子消息組成，M可以表示為：M=(M1,M2,M3,M4,M5)，Mi表示M中第i個(gè)子消息，截取后得到消息集合為M′.截取子集CI(M′)用來表示截取消息M′中所有子消息編號(hào)的集合.M′中仍然有n個(gè)子消息，其中被截掉的子消息用標(biāo)記 ?表示，保留下來的消息與原消息M中對(duì)應(yīng)編號(hào)位置的子消息相同.為了使原始簽名者對(duì)原消息M具有一定控制權(quán)，防止截取者惡意截取，引入了內(nèi)容截取訪問結(jié)構(gòu)(content extraction access structure，CEAS)，CEAS中規(guī)定了截取者必須截取的子消息段的編號(hào)，并且滿足CEAS?CI(M′).例如：M=(M1,M2,M3,M4,M5)，CEAS={2,4}，若CI(M′)={1,2,4,5}，則M′={M1,M2,?,M4,M5}，滿足CEAS?CI(M′)，表示截取方式合法；若CI(M′)={1,2,5}，則M′={M1,M2,?,?,M5}，CEASCI(M′)，截取方式不合法.

可截取簽名需要滿足一定的安全屬性，具體為：

1) 不可偽造性.攻擊者可以訪問一個(gè)CES簽名預(yù)言機(jī)，如果消息M′滿足：a) 不是一個(gè)合法的訪問CES簽名預(yù)言機(jī)的消息M的子消息；b) 是一個(gè)合法的訪問CES簽名預(yù)言機(jī)的消息M的子消息，但是不符合內(nèi)容截取訪問結(jié)構(gòu).在這種情況下，攻擊者想要產(chǎn)生有關(guān)M′的一個(gè)合法的CES簽名幾乎是不可能的.

2) 隱私性.對(duì)于未被截取的子消息，攻擊者若想從截取消息中獲取未被截取消息的相關(guān)內(nèi)容是不可行的.

2 基于SM2的無證書可截取簽名方案

2.1 SM2數(shù)字簽名簡(jiǎn)介

SM2的數(shù)字簽名算法適用于商用密碼應(yīng)用中的數(shù)字簽名和驗(yàn)證，在GM/T0003中規(guī)定了SM2橢圓曲線公鑰密碼算法的數(shù)字簽名算法.具體的算法流程本節(jié)不再闡述，只簡(jiǎn)要介紹一下本文提出的可截取簽名方案需要用到的參數(shù)表示[11].

(dA,pA)：原始簽名者Alice(簡(jiǎn)稱A)的公私鑰對(duì)，dA是私鑰，pA是公鑰，其中pA=[dA]G；

M：原始消息；

M′：待驗(yàn)證的消息；

e：密碼雜湊函數(shù)作用于消息M的輸出值；

e′：密碼雜湊函數(shù)作用于消息M′的輸出值；

G：橢圓曲線的一個(gè)基點(diǎn)，其階為素?cái)?shù)；

H()：密碼雜湊函數(shù)，一般消息摘要長(zhǎng)度為256 bit；

modN：模N運(yùn)算，例如，11 mod 2=1；

N：基點(diǎn)G的階;

x‖y：x與y的拼接，其中x、y可以是比特串或字節(jié)串；

ZA：用戶A的可辨別標(biāo)識(shí)、部分橢圓曲線系統(tǒng)參數(shù)和用戶A公鑰的雜湊值；

(r,s)：發(fā)送的簽名；

(r′,s′)：接收到的簽名；

(x,y)：橢圓曲線上的點(diǎn).

2.2 具體方案

本文提出的基于橢圓曲線的無證書可截取簽名方案，主要由7個(gè)算法構(gòu)成.

4) 完整密鑰生成 用戶A收到(sA,RA)后，驗(yàn)證sAG=RA+hAPpub(modN)是否成立，若成立，計(jì)算PA2=sAG，用戶A將PA1和PA2合并在一起作為用戶公鑰PKA=(PA1,PA2)，用戶將自己的秘密值xA與sA合并作為用戶的私鑰SKA=(xA,sA).

5) 簽名算法 輸入原消息M，原始簽名者A給出相應(yīng)的截取規(guī)則CEAS，按以下步驟執(zhí)行簽名過程.

A1 對(duì)于必選子消息i∈CEAS，計(jì)算hCEAS=H2((m[i]‖i)i∈CEAS,CEAS)；對(duì)于非必選子消息i∈ΓCEAS，計(jì)算hi=H2(m[i],i,CEAS)；

A3 隨機(jī)選取k∈[1,N-1]，計(jì)算橢圓曲線點(diǎn)(x1,y1)=[k]G；

A4 計(jì)算r=(e+x1)modN，若r=0或r+k=N，則返回步驟A3；

A5 令dA=(xA+sA) mod (N-2)；

A6 簽名得到σ=(1+dA)-1(k-rdA) modN，若σ=0，則返回步驟A3；

A7 返回全局簽名σFull=(CEAS,σ,r).

6) 截取算法 截取者B收到全局簽名σ′Full=(CEAS′,σ′,r′)后，根據(jù)SM2標(biāo)準(zhǔn)驗(yàn)簽過程對(duì)接收到的全局簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則進(jìn)行后續(xù)的截取過程，否則驗(yàn)證失敗.截取過程具體如下.

B1 根據(jù)原消息M和截取規(guī)則CEAS′，獲得截取子集CI(M′)，令X′=CI(M′)；

B2 對(duì)于i∈ΓX′，截取者B計(jì)算hi=H2(m[i],CEAS′)；

B3 返回截取簽名σExt=(CEAS′,σ′,r′,(hi)i∈ΓCI(M′)).

7) 驗(yàn)證算法 驗(yàn)證者C收到截取消息M′的簽名σ′Ext=(CEAS″,σ″,r″,(hi)i∈ΓCI(M′))后，首先驗(yàn)證CEAS″?CI(M′)是否成立，若成立，則繼續(xù)下一步的操作；否則，終止算法.

C1 檢驗(yàn)r″∈[1,N-1]是否成立，若成立，則進(jìn)行下一步操作；否則，驗(yàn)證不通過；

C2 檢驗(yàn)σ″∈[1,N-1]是否成立，若成立，則進(jìn)行下一步操作；否則，驗(yàn)證不通過；

C3 對(duì)于i∈CEAS″，計(jì)算h′CEAS=H2((m′[i]‖i)i∈CEAS″,CEAS″)；對(duì)于i∈X′CEAS″，計(jì)算h′i=H2(m′[i],CEAS″)，結(jié)合所收到的截取簽名的內(nèi)容，可以得到對(duì)于i∈ΓCEAS″的子消息的哈希值h′i；

C5 計(jì)算t″=r″+σ″，若t″≠0，繼續(xù)進(jìn)行下一步操作；否則，驗(yàn)證不通過；

C7R=e″+x″1(modN)，判斷R=r″是否成立，若成立，則驗(yàn)證通過，簽名有效；否則，驗(yàn)證不通過.

3 方案分析

3.1 正確性分析

對(duì)于一個(gè)誠(chéng)實(shí)的截取者，可以通過以下推導(dǎo)過程來證明該方案的正確性.

首先驗(yàn)證部分私鑰的正確性.sAG=(rA+hAx)G=RA+hA[x]G=RA+hAPpub，可以看出，該方案滿足部分私鑰驗(yàn)證方程.

2013年習(xí)近平總書記在出訪中亞和東南亞國(guó)家期間提出了“一帶一路”的偉大戰(zhàn)略構(gòu)想。青海雄踞西部地區(qū)，是連接“一帶一路”的重要省份，也是承東啟西、貫通南北的交通干線，擁有豐富的自然資源。因此，研究青海如何搭乘“一帶一路”的發(fā)展快車將資源優(yōu)勢(shì)轉(zhuǎn)變?yōu)榻?jīng)濟(jì)優(yōu)勢(shì)，對(duì)于青海增強(qiáng)自身發(fā)展動(dòng)力，提升區(qū)域核心競(jìng)爭(zhēng)力具有重要意義。

(x″1,y″1)=[σ″]G+[t″](PA1+PA2)=[σ″]G+[t″](xA+sA)G=[σ″]G+(r″+σ″)(xA+sA)G=

(1+(xA+sA))[σ″]G+r″(xA+sA)G=(k-r″(xA+sA))G+r″(xA+sA)G=[k]G=(x1,y1).

因此可以證明e″=e，x″1=x1，即R=r″.驗(yàn)證方程通過，該方案是正確的.

對(duì)于惡意的截取者，可以通過惡意的截取方式來實(shí)施攻擊，主要有4種情況.

1) 截取者在對(duì)原消息進(jìn)行截取時(shí)沒有遵守相應(yīng)的截取規(guī)則CEAS.之后驗(yàn)證者在驗(yàn)證截取簽名時(shí)，CEAS的改動(dòng)必然會(huì)導(dǎo)致必選子消息的哈希值h′CEAS發(fā)生變化，與原來的hCEAS不同，同時(shí)由于hCEAS參與簽名驗(yàn)證過程，因此截取者如果不遵守相應(yīng)的截取規(guī)則，則簽名無法通過驗(yàn)證.

2) 截取者按照截取規(guī)則對(duì)原消息進(jìn)行截取得到M′，但把M′中的一些子消息m′[i]替換為m″[i]，得到一個(gè)偽造的截取消息M″.在之后的驗(yàn)簽過程中，需要對(duì)一些子消息進(jìn)行哈希運(yùn)算，即對(duì)于i∈CEAS，存在

H2((m[i]‖i)i∈CEAS,CEAS)≠H2((m″[i]‖i)i∈CEAS,CEAS)，

或者是對(duì)于i∈ΓCEAS，

H2(m[i],CEAS)≠H2(m″[i],CEAS).

3) 截取者按照截取規(guī)則對(duì)原消息進(jìn)行截取得到M′，并在截取消息M′后添加j條子消息得到M″，會(huì)造成驗(yàn)簽過程無法通過，證明過程類似于2)中的分析，不再過多贅述.

4) 惡意的截取者試圖偽裝成原始簽名者，并想要偽造一個(gè)原始簽名信息.在可截取簽名中，驗(yàn)證者在對(duì)簽名進(jìn)行驗(yàn)證時(shí)，使用的是原始簽名者的公鑰，對(duì)惡意的截取者來說，只知道原始簽名者的公鑰，并無法獲知原始簽名者的私鑰(需要解決橢圓曲線離散對(duì)數(shù)問題).因此，惡意的截取者無法偽造出有效的原始簽名對(duì).

3.2 安全性證明

本文所提出的方案在隨機(jī)預(yù)言模型下是可證安全的[12]，在適應(yīng)性消息選擇攻擊下存在不可偽造性，證明過程如下.

證明在多項(xiàng)式時(shí)間內(nèi)，假設(shè)敵手AT最多能進(jìn)行qH1次H1詢問，qs次部分私鑰詢問，挑戰(zhàn)者C隨機(jī)選取挑戰(zhàn)目標(biāo)身份j，j∈[1,qH1].如果敵手AT能成功攻破本方案，那么挑戰(zhàn)者C可以利用AT作為子程序解決橢圓曲線離散對(duì)數(shù)問題.

以下是敵手AT與挑戰(zhàn)者C之間的交互過程.

1) 系統(tǒng)初始化：挑戰(zhàn)者C首先選擇安全參數(shù)k，產(chǎn)生主密鑰x和系統(tǒng)參數(shù)params={Fq,E(Fq),G,Ppub,H1,H2}，其中Ppub=xG，然后C保存主密鑰x，并將params發(fā)送給AT.

2) 詢問階段：假設(shè)AT一共進(jìn)行qH1次H1詢問和qs次部分私鑰詢問，設(shè)挑戰(zhàn)目標(biāo)身份為IDj，j∈[1,qH1].

b) 部分私鑰詢問 C維護(hù)一個(gè)結(jié)構(gòu)為{IDi,Ri,Pi2,si}部分私鑰列表Ls，當(dāng)收到來自AT的部分私鑰詢問，若i=j，則C輸出⊥，并停止詢問過程.否則若i≠j，C查詢Ls，如果表中含有{IDi,Ri,Pi2,si}，則返回{Ri,si}給AT.否則，C進(jìn)行H1詢問，得到對(duì)應(yīng)元組{IDi,Ri,si,h1i}后，將{Ri,si}返回給AT.

c) 公鑰詢問 C創(chuàng)建一個(gè)結(jié)構(gòu)為{IDi,Pi1,Pi2}的公鑰列表LPK.AT提交關(guān)于用戶IDi的公鑰詢問.

d) 公鑰替換詢問 當(dāng)AT提交關(guān)于(IDi,PK′i)的公鑰替換詢問時(shí)，如果公鑰列表LPK中含有PK′i，C定義PKi=PK′i；否則，C提交關(guān)于IDi的秘密值詢問，然后C定義PKi=PK′i.

3) 輸出階段：游戲最后，AT停止詢問階段，輸出一個(gè)有效的簽名對(duì)(ID*,M*,s=(σ,r))，若ID*≠IDj，則挑戰(zhàn)者C挑戰(zhàn)失敗并終止算法，否則偽造成功，挑戰(zhàn)者C可以利用Forking引理[13]，通過選擇不同的H2可以再另外生成兩個(gè)有效的簽名對(duì)(ID*,M*,s=(σ2,r2))，(ID*,M*,s=(σ3,r3)).然后有(x′1,y′1)=[σ′]G+[t](PA1+PA2)=(x1,y1)=[k]G，因?yàn)镻A1=xAG，PA2=sAG，t=r′+σ′，即

[σ′1]G+[r′1+σ′1](xA+sA)G=[k]G,

[σ′2]G+[r′2+σ′2](xA+sA)G=[k]G,

[σ′3]G+[r′3+σ′3](xA+sA)G=[k]G，

定理2如果哈希函數(shù)滿足單向性(one-way)，也稱為抗原像攻擊性，即對(duì)于給定的一個(gè)哈希輸出值，倒推出輸入數(shù)據(jù)是很難的，計(jì)算上不可行.那么本文中基于SM2的無證書可截取簽名方案滿足隱私性.

證明根據(jù)截取簽名σExt=(CEAS,σ,r,(hi)i∈ΓCI(M′))，可知截取簽名σExt包括了所有未截取消息的哈希值，但由于哈希函數(shù)具有單向性，故即使得到了所有未被截取消息的哈希值，也無法獲知未被截取消息的具體內(nèi)容.另一方面，截取簽名不包含有關(guān)截取消息的任何內(nèi)容，也就是說截取消息與未被截取的消息相獨(dú)立，對(duì)于驗(yàn)證者來說，即使知道了所有的截取消息，也無法從中推出有關(guān)未被截取消息的相關(guān)內(nèi)容.因此，本文提出的方案滿足隱私性.

3.3 效率分析

本文提出的方案與文獻(xiàn)[5-8]中的方案的進(jìn)行效率比較.為了表示方便，par表示對(duì)運(yùn)算，exp表示指數(shù)運(yùn)算，sca表示基于橢圓曲線密碼編碼(elliptic curves cryptography, ECC)的標(biāo)量乘法運(yùn)算，has表示哈希函數(shù)運(yùn)算.n表示子消息的數(shù)目，m表示截取子集中子消息的數(shù)目，mCEAS表示包含在內(nèi)容截取訪問結(jié)構(gòu)CEAS中的子消息的數(shù)目.方案的效率比較如表1所示.

表1 不同方案間的效率比較Tab.1 Efficiency comparison between different schemes

由于進(jìn)行一次雙線性對(duì)運(yùn)算所需的時(shí)間大約為橢圓曲線上標(biāo)量乘法運(yùn)算的10倍，橢圓曲線上的加法運(yùn)算也比較高效，點(diǎn)乘運(yùn)算可以用硬件實(shí)驗(yàn)加速[14]. 因此與文獻(xiàn)[5]的方案相比，本方案不采用雙線性對(duì)運(yùn)算，極大提高了方案效率.此外，一次指數(shù)運(yùn)算的時(shí)間同樣大于橢圓曲線上的標(biāo)量乘法運(yùn)算，因此本方案不采用指數(shù)運(yùn)算，進(jìn)一步提升效率.與文獻(xiàn)[8]的方案相比，本方案采用統(tǒng)一計(jì)算哈希值的思想，減少簽名驗(yàn)簽過程中哈希運(yùn)算的次數(shù)，在一定程度上改進(jìn)方案效率.綜上所述，本方案與文獻(xiàn)[5-8]中的方案相比，在計(jì)算效率上有著明顯優(yōu)勢(shì).

4 總結(jié)

本文結(jié)合國(guó)密算法SM2，提出一種新的基于橢圓曲線離散對(duì)數(shù)問題的無證書可截取簽名方案，在隨機(jī)預(yù)言模型下證明該方案滿足適應(yīng)性選擇消息下存在不可偽造性.與現(xiàn)有的可截取簽名方案相比，本方案結(jié)合無證書簽名體制，避免了傳統(tǒng)公鑰體制下的證書管理問題以及基于身份的公鑰密碼體制的私鑰托管問題，從整體上提升了效率.此外，本方案在計(jì)算效率方面有優(yōu)勢(shì)，在數(shù)據(jù)隱私保護(hù)方面也有廣泛的應(yīng)用前景.