第38卷
V_0l-38 第1期
NO.1 计算机工程
Computer Engineering 2012年1月
January 2012
・安全技术・ 文章编号:100o_-3428(2ol2)01—0l2o__02 文献标识码:A 中圈分类号:TP309
一种有代理门限签名方案的密码分析与改进
周莹莹,张建中
(陕西师范大学数学与信息科学学院,西安7 10062)
摘要:研究一种有代理的门限签名方案,该方案由于群私钥分享阶段设置不当,使其不满足强不可伪造性。为此,提出一种改进方案。
在群私钥分享阶段加入哈希函数运算,并在签名时改变部分签名的形式使其能够抵抗外部攻击和内部攻击。分析结果表明,改进后的方案
是安全的。 关键词:代理签名;有代理的门限签名;强不可伪造性;伪造攻击
Cryotanalysis and Improvem ̄ry 11 lmDrovement OI“
Threshold Signature Scheme with Proxy
ZHoU Ying-ying.ZHANG Jian-zhong
(College of Mathematics and Information Science,Shaanxi Normal University,Xi’an 710062,China)
[Abstract]This paper presents a security analysis of a threshold signature scheme with proxy.It finds that the scheme can not meet the strong unforgeability because of the group private—key setting incorrectly.To overcome the original scheme’s weaknesses,this paper proposes an improved
scheme.The new scheme can resist internal attack and external attack by increasing the application of the hash function in the group private—key
setting and changing the part of signature form.The security analysis proves that the improvement scheme is secure. [Key words]proxy signature;threshold signature with proxy;strong unforgeability;forgery attack
D0I:10.3969/j.issn.1000—3428.2012.01.035
l概述
近年来,随着数字签名技术的迅猛发展,针对不同应用
环境的具有特殊性质的数字签名方案受到了人们的广泛关
注。文献[1】首次提出代理签名这一概念,将门限的思想引入 到代理签名方案中 J,实现了代理签名方案和门限签名方案
的完美结合,既保留了代理签名方案的特性,又具备门限的
良好性质。文献[3】首次提出了门限代理签名这一概念。目前。
已有许多种门限代理签名方案被提出 J。但是,在日常生活
中还存在一种情况是代理签名和门限代理签名方案所不能解 决的。而有代理的门限签名方案就可以解决这些问题” l。在
实际生活中这种方案有很高的实用性,因此,有代理的门限
签名方案有广阔的应用和研究空间。
文献[8]提出了一种有代理的门限签名方案,但是该方案
不能满足强不可伪造性。原始签名人可以假冒他的代理人生
成合法的代理签名或者外部攻击者还可能伪造出对原始签名 人不利的签名,从而原方案中提到的问题不能被有效地解决。
本文针对原方案的不足之处提出了改进措施,提出一种新的
有代理门限的签名方案。
2原门限签名方案
2.1系统参数 : P、q是2个大素数,满足P:2q+l,g为GF(p)的生成
元,公布P、q、g。群G的私钥为XG∈z:,( ,P一1)=1,相
应的公钥为Y。=g modP。H.、H 是2个至少为128 bit的
单向无碰撞的hash函数。群G产生代理授权证书w,其中包
括所有原始签名者和所有代理签名者的身份标识、代理签名
者代签的消息种类和代理期限等。 ( =1,2,…, )代表原始
签名者,Q ( =1,2,…, )是其对应的代理签名人。 2.2群私钥的分享阶段 可信中心选择GF(q) 中的一个非零向量口=( ,a --,a,)
及GF(p)上的txn阶 一型秘密分享矩阵A=(A1, ,…, ),
即A的任意t列线性无关,任意t一1列不能线性表示出口。 r I , 1 从u( )={( l, 2,…, f)l( , 2,…, )口=∑Sk =XG modq}中随 L l k=l J 机选择一个t维向量( , ,…, )∈GF(q) ,计算(v。,v:,…,
vn)=(bj,b2,…, )A,发给 的签名秘钥为v modq
( =1,2,…,,z), ,=g modP,公开口、 ,。每一个成员
可以通过 =g modP是否成立来验证自己收到的签名秘钥
是否有效。 选择“,,wj∈ Z ,其满足“,wj=lmodq,计算
v,_ttjv,modq及 g modP,把(v:, )发给他的代理人
Q,,把( ,w,)发给群签名服务机构SC。Q,可以通过检验
V,_g modP是否成立来验证自己收到的代理签名秘钥的有
效性。
2.3签名生成阶段 不妨设 , ,…, .,Q,. Q,. …,Q,参与消息m的签名,其
中, ( =1,2,…,t )是所有参加签名过程的原始签名人,
基金项目:国家自然科学基金资助项目(105711l3);陕西省自然科学
基金资助项目(2009JM8002);陕西省教育厅科学研究计划基金资助 项目(2010JK829);中央高校基本科研业务费专项基金资助项目(GK
201002041) 作者筒介:周莹莹(1987一),女,硕士研究生,主研方向:密码学;
张建中,教授、博士 收稿日期:2011-07-07 E-mail:jzzhang@snnu.edu.c
n 第38卷第1期 周莹莹,张建中:一种有代理门限签名方案的密码分析与改进
Qj( =t。十1,t.+2,…,f)是所有参加签名过程的代理签名人。
(1) ( =1,2,…,t1)选择 ,∈ Z:,计算 =g roodP,
将0在公告牌上公布。Q,( =t。+1,t。十2,…,f)选择k,∈ Z;,
计算 =g mod/2,将rj在公告牌上公布。
(2)群签名服务机构Sc先求出(c,,c:,…, )∈GF(q) ,满
足( , ,…,AO(cI,C ,…, ) =a。当1≤J≤ l时,把d,:C,发
给 ;当t。≤ ≤t时,计算d,=CjWj,把d,发给Q,。
(3)P,(1≤ ≤ )计算R=n rj0 modP, ,=(v,d,日l(m)一 j=l kjs)H:<mllwllR);然后把 发给群签名服务机构SC。Qj
(tl≤ ≤t)计算R=H0。modP,且 ,=(V: fHl( )一 ,r『) j=l H,(mllwllR);把 发给群签名服务机构sc。
(4)群签名服务机构SC收到t个成员的部分签名 后,
计算R=II 。modp,S=∑ modq,则群签名服务机构sC j=l 』=l 生成了对消息m的群签名(尺, )。
2.4签名验证阶段
签名接收者通过检验gSR mui r :)’ 是否成立
来验证群签名的有效性。若等式成立,说明(尺, )是一个有
效的签名。
3原方案的安全性分析
原方案不满足强不可伪造性,包括两方面的内容:无法
抵抗外部攻击者的伪造攻击;原始签名人可伪造代理签名。
3.1外部攻击者的伪造攻击 因为签名的接收者在签名的验证阶段通过检验式子:
g 尺 州 =), Ⅲ ㈣ 是否成立来验证最终签名的有效
性。因此,若攻击者拥有一个对消息m的有效的群签名(R, )
则攻击者可以对任意的消息m 伪造一个合法的签名。执行的 操作步骤如下:对任意的消息m ,将其解析成比特串,再求
出H (m ),可以找到常数z 满足日 ( )= H, ),令R =R ,
再求出和H (m 'wl [R ),可以找到常数f1满足和H (m,llw )=
l:H (ml[w[IR)。如果令S =flf1l S,则( ,R )就是一个对消息
m 的伪造签名。这是因为: g 2‘ =g 66SR1112Hz(m w] l =(g RH ̄(m…[MIR =
(v HI( ) z( ’) - =v I(m) 2 =
), -‘椰z‘
从而攻击者便成功地伪造了一个对消息m 的合法签名
( ,R )。
3.2原始签名人的伪造攻击 因为在群私钥的分享阶段,原始签名人Jp|选择“ ,
W,∈ ,满足I,tjW =Iroodq。并计算 = V roodq,再把
(v ,y )发给他的代理人Q,。在签名的生成阶段,Q,计算
=(V:d,H,(m)-k,0)H: llw ),生成部分代理签名,用到
的私钥v:是他的原始签名人所知道的。所以,原始签名人可
以伪造出代理签名。
4改进后的方案
针对上述安全性问题给出具体的改进措施。改进后的方
案中与原方案相同的地方将不做叙述,仅叙述与原方案不同
的地方。 4.1系统参数 系统参数的设置同原方案。
4.2群私钥的分享阶段 原始签名人将自己和其代理签名人的份信息发送给可信
中心,可信中心选择“,,w,∈ ,满足UjWj:1modq,再计
算h,=Wjr ,HJ=g roodp, =ttiV ,Hj=g modp,然
后可信中心将(^ ,H,)发送给每一个成员JD『,将(^:, :)发送
给Q ,将(“ ,W )发送给群签名服务机构sc,P,选择
∈ ,计算’ =g modp,叩,:H2(wll ̄I1日 ),Aj=( +
,77,)mod口,然后将(∥,,Aj)发送给他的代理签名人Q,。Q,
收到原始签名人发送给他的数据后,再通过式子g =
日, modP是否成立来验证代理授权的有效性。
4.3签名的生成阶段 本节中 ( :l,2,…,t.)代表所有参加签名过程的原始签
名人,Q,(』:t +1,t +2,…,f)是所有参加签名过程的代理签名
人。具体签名过程如下:
(1)、(2)同2.3节的(1)、(2)。
(3) 计算R=Fl rj。modP,并且s,=( d,日 (m)一 0)
(ml[w[IR)+hj;这里J=1,2,…,t ,再 发送给群签名服务
机构sc。 计算R=兀 。modp, ,=( : H。 )一k 0)
日2 I )+^j ;这里 =f。+l,‘十2,…,t,再将 ,发送给群
签名服务机构SC。 (4)群签名服务机构sc收到t个成员的部分签名 后,
计算R=兀 。modP,S= ,modq,则群签名服务机构sc ,=l J=】 生成了对消息m的群签名(R, )。
4.4签名的验证阶段 签名的验证者通过检验下述式子是否有效来检验签名的
有效性:
g s 刊 :y ‘ ‘ .^ . 日,^, j=J j=tl+l 若等式成立,说明(R, )是一个对消息m的有效签名。
5安全性分析
改进后的方案是正确的,并且满足强不可伪造性,能够
被证明是安全的签名方案。
5.1正确性 完整有效的群签名是可以通过最终的验证等式的,这是
因为下式成立:
譬 (叫【 R): (hjdiH,(m)-kjr ̄)+ l 。 2‘ 0 .
+± ± 。H (mll ̄lm g ’ “ ・g ’ :
g 五 删 .f1H,. H :n爿,‘l1 ,‘ = 』=1 j=t m+l yGH Ⅲ2‘ .n日 . 日:
=l ,=r1+I 5.2强不可伪造性 在改进后的方案中,在群私钥的分享阶段由可信中心选
择参数ttj、wj,再计算出原始签名人和对应代理签名人的私
钥和公钥分配给他们。避免了原始签名人选择参数“,、w 。
(下转第124页)