一種抗造假攻擊的群簽方案

一種抗造假攻擊的群簽方案

數(shù)字簽名是指在數(shù)據(jù)單元中添加數(shù)據(jù)或替換數(shù)據(jù)單元的密碼。通過添加數(shù)據(jù)或密碼變換，數(shù)據(jù)單元的接收者可以證明數(shù)據(jù)單元的來源及其完整性。它可以提供實(shí)體識(shí)別、數(shù)據(jù)原識(shí)別和數(shù)據(jù)安全性服務(wù)，并保護(hù)數(shù)據(jù)。1991年,Chaum和Heyst首次提出了群簽名的概念。一般來說,群簽名應(yīng)該滿足4個(gè)特征:1)只有群中的成員才能夠代表整個(gè)群對(duì)信息進(jìn)行簽名;2)簽名的接收者能夠驗(yàn)證簽名是否為這個(gè)群的有效簽名;3)簽名的接收者不能辨別具體是哪個(gè)成員產(chǎn)生的簽名;4)如果有需要,群權(quán)威根據(jù)簽名能夠識(shí)別出簽名者的身份。同時(shí),群簽名方案中包括多個(gè)簽名者、群權(quán)威和多個(gè)用戶,其中群成員可以代表群進(jìn)行簽名。最初的群簽名方案中,其簽名的有效性需要得到簽名者和驗(yàn)證方共同執(zhí)行一個(gè)交互式協(xié)議來證明,因此效率較低。1998年,Lee和Chang提出了一種高效的基于離散對(duì)數(shù)問題的群簽名方案。Tseng和Jan指出Lee-Chang方案不具備不可鏈接性:由于每個(gè)成員的不同群簽名包含有自己同樣的身份證書信息,一旦某一次簽名被泄漏,這個(gè)簽名者以前和以后的群簽名都會(huì)被泄漏,使得該成員的所有簽名不具有匿名性。上海交通大學(xué)的敖青云等學(xué)者提出了一個(gè)群簽名方案,但是該方案不能抵御偽造攻擊,其原因是簽名證書中的運(yùn)算具有類似同態(tài)性的特點(diǎn)。雖然文獻(xiàn)對(duì)抗偽造攻擊的分析是值得肯定的,但是它所提出的新方案在設(shè)計(jì)過程中存在一個(gè)錯(cuò)誤。作者就順著文獻(xiàn)對(duì)抗偽造攻擊的分析思路,設(shè)計(jì)了一個(gè)新的群簽名方案。該方案除了保留文獻(xiàn)各方案的優(yōu)點(diǎn),即盲性、簽名者有條件的匿名性、簽名者身份的不可否認(rèn)性、不可鏈接性、不可捏造性和抗聯(lián)合攻擊特性,還具有抗偽造攻擊能力。1hen-bai群簽名方案文獻(xiàn)提出一個(gè)群簽名方案,本文稱該方案為Ao-Chen-Bai群簽名方案,文獻(xiàn)對(duì)Ao-Chen-Bai方案的安全性進(jìn)行討論,并提出一個(gè)新的群簽名方案,本文稱為Yuan-Ding群簽名方案。1.1群權(quán)威t的生成該方案分為5個(gè)階段:初始化、加入群成員、簽名、驗(yàn)證和識(shí)別。具體內(nèi)容參見文獻(xiàn)。1)初始化設(shè)p和q為兩個(gè)大素?cái)?shù),而且q|p-1,設(shè)g是GF(p)上階為q的生成元。每個(gè)群成員Ui選取自己的私鑰xi,其中,xi∈[1,q-1],計(jì)算并公布相應(yīng)的公鑰yi≡gxi(modp)。假設(shè)T為群權(quán)威并且T的私鑰為xT,其中,xT∈[1,q-1]公鑰為yT≡gxT(modp)。2)加入群成員對(duì)于每一個(gè)群成員Ui,群權(quán)威T隨機(jī)選擇ki∈[1,q-1],并且計(jì)算:ri≡g-ki·ykii(modp),si≡ki-ri·xT(modq)(1)群權(quán)威T將(ri,si)秘密地發(fā)送給群成員Ui。當(dāng)接收到(ri,si)后,群成員Ui驗(yàn)證等式:gsi·yriT·ri≡(gsi·yriT)ximodp)。群權(quán)威負(fù)責(zé)群成員的加入和刪除管理。這里,ri和si無須保密傳送,甚至(ri,si,yi)可以在系統(tǒng)內(nèi)公開,主要因?yàn)樵谠撎幵稍獏?shù)在執(zhí)行簽名協(xié)議時(shí)已進(jìn)行盲化處理,不會(huì)出現(xiàn)在簽名結(jié)果中,任何第三方企圖將盲化后的生成元參數(shù)與{ri,si}對(duì)應(yīng)起來,在計(jì)算上是困難的。3)簽名、驗(yàn)證和識(shí)別階段請(qǐng)參見文獻(xiàn)。1.2個(gè)群成員認(rèn)證Yuan-Ding群簽名方案主要為了克服Ao-Chen-Bai群簽名方案中(1)式的同態(tài)性,該方案也分為初始化、加入群成員、簽名、驗(yàn)證和識(shí)別5個(gè)階段。這里主要介紹該方案在加入群成員階段時(shí),為了克服同態(tài)性而改變了ri的結(jié)構(gòu)和最后識(shí)別階段的證明,其他內(nèi)容請(qǐng)參見文獻(xiàn)。在“加入群成員階段”,對(duì)于每一個(gè)群成員Ui,T隨機(jī)選擇ki∈[1,q-1],并計(jì)算:ri≡gki+ykii(modp),si≡ki-ri·xT(modq)(2)在“識(shí)別階段”,如果需要識(shí)別簽名者時(shí),驗(yàn)證方出示收到的簽名{r,s,m,A,B,C,D,E}。由于群權(quán)威保存有每個(gè)群成員的證書(ri,si,ki),從而可以計(jì)算出簽名者αi≡(gC·Ex-1T)r-1i·ki(modp)(3)其中,x-1Τ?1T為xT在Z*q上的乘法逆元,r-1i?1i為ri在Z*p上的乘法逆元。如果式(3)滿足,群權(quán)威就可以判斷出上述簽名確實(shí)是Ui簽的,則群權(quán)威就可以將自己的判斷通過一般的數(shù)字簽名技術(shù)告訴驗(yàn)證者。Yuan-Ding簽名方案中識(shí)別階段的驗(yàn)證式子(3)的證明過程見文獻(xiàn),原文如下:因?yàn)?(gC·Ex-1T)r-1i·ki≡(gari-d·gdxTx-1T)r-1i·ki≡(gari)r-1i·ki≡gari≡αi(modp)所以:αi≡(gC·Ex-1T)r-1i·ki(modp)。2安全分析與此模式的安全性2.1簽名特性分析Ao-Chen-Bai群簽名方案的優(yōu)點(diǎn)是符合群簽名的形式化定義,擁有有條件的匿名性、不可否認(rèn)性、不可捏造性、不可鏈接和抗聯(lián)合攻擊特性等方案所必須的簽名特性。但是由于式(1)的定義具有同態(tài)性,因此不能抵御偽造攻擊,主要原因是:ri≡g-ki·ykiikii(modp)。具有類似同態(tài)性(semi-homeostasis)的特點(diǎn)。2.2gr-1iri計(jì)算由于式(2)中ri≡gki+ykii(modp),而r-1i?1i為ri在Z*p上的乘法逆元,因此gr-1iri≠g(modp),故識(shí)別階段式子(3)的證明是不成立的。此外,若是簡(jiǎn)單的將r-1i?1i定義為ri在Z*q上的乘法逆元,即ri∈Zq,則加入群成員,簽名和驗(yàn)證階段的ri均在Zp上,運(yùn)算顯然均不成立。因此,必須對(duì)簽名算法做全面的修改才能完成該簽名方案的設(shè)計(jì)。3抗偽造攻擊的群簽名方案通過對(duì)Ao-Chen-Bai群簽名方案和Yuan-Ding群簽名方案的研究,主要基于Ao-Chen-Bai群簽名方案不能抵御偽造攻擊,參考文獻(xiàn)的增加消息罩的方法來避免同態(tài)性所帶來的偽造攻擊,提出一個(gè)改進(jìn)的能夠抗偽造攻擊的群簽名方案。3.1簽名系統(tǒng)的改進(jìn)設(shè)計(jì)將方案分為初始化、加入群成員、簽名、驗(yàn)證和識(shí)別5個(gè)階段。1計(jì)算p的qs群假設(shè)p為一個(gè)強(qiáng)素?cái)?shù),即p-1=2q,其中q為素?cái)?shù),g為有限域GF(p)上階為q的生成元。群中的每一個(gè)成員Ui隨機(jī)選擇自己的密鑰xi∈[1,q-1],并計(jì)算公鑰yi=gxi(modp)。群權(quán)威T隨機(jī)選取群權(quán)威密鑰xT∈[1,q-1],而且gcd(xT,q)=1,并計(jì)算公鑰yT=gxT(modp)。2共建維護(hù)兩組成員u對(duì)于每一個(gè)群成員Ui,群權(quán)威T隨機(jī)選擇ki∈(1,q-1],而且gcd(ki,q)=1,并計(jì)算:{ri≡(g+gki)-1ykii(modp)si≡ki-ri?xΤ(modq)且si＞1(4){ri≡(g+gki)?1ykii(modp)si≡ki?ri?xT(modq)且si＞1(4)群權(quán)威將(ri,si)秘密地發(fā)送給Ui,接收到(ri,si)后,Ui驗(yàn)證等式:ri(g+gsi·yriT)≡(gsi·yriT)xi(modp)(5)如果(5)式成立,則群成員Ui保存簽名證書(ri,si),群權(quán)威保存(ri,si,ki)。證明:ri(g+gsi·yriT)≡(gsi·yriT)xi(modp)。因?yàn)?ri(g+gsi·yriT)≡ri(g+gki-rixT·yriT)≡ri(g+gki)≡(g+gki)-1·ykiikii·(g+gki)≡ykii(modp),而(gsi·yriT)xi≡(gki-rixT·yriT)xi≡(gkiy-riΤ?riT·yriT)xi≡(gki)xi≡ykiikii(modp),故ri(g+gsi·yriT)≡(gsi·yriT)xi(modp),得證。3群成員ua如果Ui希望對(duì)消息m簽名,則Ui可以隨機(jī)選擇3個(gè)數(shù)a,b,c∈[1,q-1],并計(jì)算:A≡rai(g+gsiyriT)a+gasi(modp),B≡a·si-b(modq),C≡a·ri-c(modq),D≡gb(modp),E≡ycT(modp)。隨后,群成員Ui隨機(jī)選擇t∈[1,q-1],并計(jì)算:αi≡gB·yCT·D·E(modp),r≡αti(modp)。接著,群成員Ui求解同余方程:h(m)≡r·xi+t·s(modq)。其中,h(m)為無碰撞的單向哈希函數(shù),通過計(jì)算得到s。則{r,s,m,A,B,C,D,E}就是消息m的群簽名結(jié)果。4igasi-bgasi-nxtgaki體模型gakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakici模型gakicigakicigakicigakicigakicigakici模型gakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakici.gakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakicigakici簽名者接收到簽名后,先計(jì)算:αi≡gB·yCT·D·E(modp),DHi≡A-D·gB(modp)。并利用下面式子來驗(yàn)證簽名:αh(m)i≡DHri·rs(modp)。證明:因?yàn)棣羒≡gB·yCT·D·E≡gasi-b·gaxTri-nxT·gb·gcxT≡ga(si+rixT)≡gaki(modp),而DHi≡A-D·gB≡rai(g+gsi·yriT)a+gasi-gb·gasi-b≡rai(g+gki-rixT·yriT)a≡rai(g+gki)a≡(g+gki)-a·yakii·(g+gki)a≡(ykii)a≡gakixi(modp)。所以αh(m)i≡(gaki)rxi+ts≡gaki·rxi·gakits≡(gaki·xi)r·(gakit)s≡DHri·rs(modp)。5群權(quán)威的判斷識(shí)別簽名者時(shí),驗(yàn)證方出示收到的簽名{r,s,m,A,B,C,D,E}。由于群權(quán)威有每個(gè)群成員的證書(ri,si,ki),所以可以計(jì)算出簽名者。驗(yàn)證:αi≡(gB·D)s-1i·ki(modp)(6)其中,x-1Τ為xT在Z*q上的乘法逆元,s-1i為si在Z*q上的乘法逆元。如果上面式子成立,群權(quán)威T就可以識(shí)別出上述簽名是Ui簽署的,則群權(quán)威就可以將自己的判斷告訴驗(yàn)證者。下面給出其證明:證明:因?yàn)?gB·D)s-1i·ki≡(gasi-b·gb)s-1i·ki≡(gasi)s-1i·ki≡gaki(modp),又因?yàn)棣羒≡gaki(modp),所以αi≡(gC·Ex-1T)r-1i·ki(modp),得證。3.2算法安全性分析新方案擁有群簽名所必須的一些簽名特性,如簽名者有條件的匿名性、簽名者身份的不可否認(rèn)性、不可鏈接性、不可捏造性、抗聯(lián)合攻擊特性,分析如下:1)簽名者有條件的匿名性。給定消息-簽名對(duì),任何人都可以校驗(yàn)簽名的有效性,但是只有群權(quán)威才能夠識(shí)別簽名是哪個(gè)群成員所為。識(shí)別簽名需要查詢?nèi)撼蓡T的簽名證書庫(kù),并且用到群權(quán)威的公鑰xT,所以除群權(quán)威外,其他人無法識(shí)別簽名是哪個(gè)群成員所為。2)簽名者身份的不可否認(rèn)性。群權(quán)威可以確定簽名是哪個(gè)群成員作出的,并且向第三方證明之,而不影響該簽名者以前及將來的簽名。3)不可鏈接性。判斷兩個(gè)不同的簽名是否是同一群成員所為在計(jì)算上是不可行的。如果在執(zhí)行簽名協(xié)議時(shí),簽名接收者選擇不同的盲化參數(shù),則判斷兩個(gè)不同簽名是否是同一群成員所為在計(jì)算上是不可行的。4)不可捏造性。群成員不能代表其他群成員簽名,即識(shí)別簽名時(shí),無法陷害與簽名無關(guān)的群成員。產(chǎn)生一個(gè)有效簽名時(shí),同時(shí)用到(ri,si)和xi,如果識(shí)別簽名時(shí)顯示的簽名證書是(ri,si),則必然是用xi產(chǎn)生的,必須是群成員Ui自己簽發(fā)的,即使其他群成員合作,也無法陷害Ui。此外,識(shí)別簽名時(shí),群權(quán)威要給出關(guān)于Dsi、yT關(guān)于g的離散對(duì)數(shù)相等知識(shí)證明,因此群權(quán)威不能陷害與簽名無關(guān)的群成員。5)抗聯(lián)合攻擊特性。除群權(quán)威外,任意多個(gè)群成員都無法產(chǎn)生不可跟蹤的群簽名。如果要生成有效的,但是在識(shí)別時(shí)不泄漏任何簽名群成員身份的簽名,則需要生成一個(gè)新的私鑰/公鑰對(duì)(xf,yf),并且計(jì)算對(duì)應(yīng)的簽名證書(rf,sf),這樣就需要知道群權(quán)威的私鑰xT,這是不可能的。同時(shí),新方案還具有Ao-Chen-Bai群簽名方案所不具備的優(yōu)點(diǎn),分析如下:6)抵御偽造攻擊。若攻擊者進(jìn)行類似文獻(xiàn)的偽造攻擊,由于新方案中定義:DHi≡A-D·gB(modp),則在攻擊過程將出現(xiàn)(A-D·gB)r(modp),最主要的是新方案中式子(4):ri≡(g+gki)-1ykii(modp)所定義的ri沒有類似Ao-Chen-Bai群簽名方案中式子(1):ri≡g-ki·ykii(modp)所定義的ri同態(tài)的性質(zhì),所以上述偽造攻擊對(duì)本文方案無效。7)取p為強(qiáng)素?cái)?shù),則有素?cái)?shù)q=(p-1)/2,可以方便地取到階為q,而不僅僅是p-1的一個(gè)因子的生成元,這對(duì)密碼體制的工程實(shí)現(xiàn)和提高安全性有積極意義。8)該群簽名方案可以方便地加入身份嵌入與揭示技術(shù),從而可以設(shè)計(jì)一些新型的電子支付安全系統(tǒng)。在農(nóng)業(yè)銀行的電子支付系統(tǒng)中作了實(shí)驗(yàn)性的嘗試并取得成功。3.3改進(jìn)的集體簽名制度的示例下面通過一個(gè)簡(jiǎn)單的例子來介紹新方案的簽名過程。1z47上生成元6設(shè)p=47,則q=23,選取生成元g=6(mod47),即Z47上生成元6的階為23。群中的每個(gè)成員Ui隨機(jī)選擇密鑰xi=13∈,并計(jì)算公鑰yi≡613≡34(mod47)。群權(quán)威T隨機(jī)選擇xT=2∈,并計(jì)算yT≡62≡36(mod47)。2g+gkii6+97-1ykii8.331616161516161615191526313151531531531535.21535.3.35.35.35.35.35.35.3.35.3.35.3.35.35.35.35.3.35.35.3555.355314.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.35.3對(duì)于群成員Ui,群權(quán)威T隨機(jī)選擇ki=8∈,并計(jì)算:ri≡(g+gki)-1ykii≡(6+68)-1·348≡31(mod47),si≡ki-ri·xT≡8-31·2≡15(mod23)。群權(quán)威T將(31,15)秘密地發(fā)送給群成員Ui。3si-b使用1333333的巖工群的u求解同余方程群成員Ui隨機(jī)選擇3個(gè)數(shù)a=1∈,b=2∈,c=5∈,并計(jì)算:A≡rai(g+gsiyriT)a+gasi(modn)≡31·(6+615·3631)+615≡39(mod47),B≡a·si-b(modN)≡1·15-2≡13(mod23),C≡a·ri-c(modN)≡1·31-5≡3(mod23),D≡gb(modn)≡62≡36(mod47),E≡ycT(modn)≡365≡18(mod47)。然后,群成員Ui隨