一个门限代理签名方案的进一步改进.docx
- 文档编号:24833712
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:9
- 大小:18.64KB
一个门限代理签名方案的进一步改进.docx
《一个门限代理签名方案的进一步改进.docx》由会员分享,可在线阅读,更多相关《一个门限代理签名方案的进一步改进.docx(9页珍藏版)》请在冰豆网上搜索。
一个门限代理签名方案的进一步改进
一个门限代理签名方案的进一步改进
FurtherImprovementofaThresholdProxySignatureScheme
XIEQi1,YUXiuyuan2,3
(1.SchoolofInformation&Engineering,HangzhouTeachersCollege,HangzhouZhejiang310036,China;2.SchoolofScience,HangzhouTeachersCollege,HangzhouZhejiang310036,China;3.Dept.ofMathematics&Physics,QuzhouCollege,QuzhouZhejiang324000,China)
Abstract:
In1999,Sun,etalpresentedathresholdproxysignature,whichovercameweaknessesoftheschemesproposedbyZhangandKim,etal,respectively.Recently,Li,etalshowedthatSun’sschemecann’tresistthepublickeysubstitutionattack,andproposedanimprovedscheme.However,theirimprovedschemeisstillsufferfromthepublickeysubstitutionattack.Additional,aproxyrelationshipinversionattackonLi’sschemeisproposed,itwillprovidesmoreinformationinthedesignofsecureproxysignaturescheme.Finally,afurtherimprovementschemeisproposedtoeliminatetheweaknesses.
Keywords:
DigitalSignature;ProxySignature;ThresholdProxySignature
1引言
1996年,Mambo等人[1]首次提出了代理签名的概念,一个代理签名方案允许原始签名人把自己的签名权交给指定的代理人(称为代理签名人),代理签名人能够代表原始签名人生成有效的代理签名。
由于代理签名在信息化社会有很好的应用前景,所以代理签名一提出便进行了广泛的关注,并得到了深入的研究,提出了各种各样的代理签名体制。
但一个安全的代理签名必须满足不可伪造性、可验证性、不可否认性、可区分性等性质[1]。
为体现原始签名者与代理签名者的公平性,Lee等人[2]提出代理签名还应该满足强不可伪造性、强可识别性、强不可否认性和阻止滥用性。
为防止滥用代理签名权,1997年Kim等人[3]和Zhang[4]分别提出了(t,n)门限代理签名方案,原始签名人把代理签名密钥分割成n份并分发给n个代理签名人,它要求n个代理签名人中至少t个人的合作才能生成代表原始签名人的代理签名,但是小于t个则不行。
Sun等人[5]指出他们的方案都是不安全的,并基于Zhang的方案提出了一个改进算法。
Hsu等人[6]指出Sun的方案违背了门限代理的原则,他们的方案中代理签名的产生不一定完全遵守规定门限值,并给出了一个改进方案;而李继国等人[7]指出Sun的方案无法抵抗替换公钥攻击,并给出了一个改进方案。
考虑到当代理签名发生争议时,仲裁者必须知道谁是代理签名的真正签名者,所以代理签名具有不可否认性是个十分重要的性质。
1999年,Sun[8]提出了具有已知签名人的不可否认门限代理签名方案,Hsu等人[9]指出Sun的方案无法抵抗合谋攻击并给出了一个改进方案。
2004年,Yang等人[10]提出了一个效率优于Hsu的不可否认门限代理签名方案。
2000年基于Kim的方案,Hwang等人[11]提出了一个不可否认门限代理签名方案,然而HwangandChen[12]给出的原始签名人与一个代理签名人的合谋攻击方案表明他们的方案是不安全的,Tzeng等人[13]给出了一个更有效的攻击方案――原始签名人的假冒攻击指出了文献[11]的缺陷,并给出了改进方案。
考虑到李继国等人[7]指出Sun的方案无法抵抗替换公钥攻击,并给出了抵抗替换公钥攻击的一般方法和一个改进方案,并称该改进方案能抵抗替换公钥攻击。
然而,本文指出他们的方案依然无法抵抗替换公钥攻击,同时提出了代理关系转换攻击方法,成功地攻击了他们的方案。
该攻击方法对设计安全的代理签名有重要的价值。
本文提出的两种攻击方法同样能攻击Hsu等人[6]提出的改进方案;最后给出了门限代理签名的进一步改进方案。
2文献[7]的门限代理签名方案简介
设p和q是两个大素数,满足q|(p-1),随机选取q阶生成元g∈Z*p;h(?
)是单向抗碰撞Hash函数;PGID={EM,Time,Group}记录代理人的身份,其中,EM表示代理密钥产生的标记包括参数t和n,Time表示代理签名的有效期限,Group表示原始签名人和代理签名人的身份信息。
每个用户Pi的私钥为xi∈Z*q,公钥为yi=gximodp,并得到CA的认证。
设P0是原始签名人,G={P1,P2,…,Pn}是n个代理签名人。
文献[7]的方案由代理密钥产生阶段、代理签名产生与验证三个阶段组成。
2.1代理密钥产生阶段
(1)原始签名人随机选取∈RZq,计算并广播=gk~modp。
(2)每个Pi∈G随机选取αi∈RZq,计算ri=gαimodp,使得ri∈Z*p成立,然后广播ri。
(3)原始签名人计算r=∏ni=1ri,=n-1x0h(r,PGID,y0)+(modq),并广播。
(4)每个Pi∈G计算r=∏ni=1ri,并通过下式检查的正确性:
gs~=yn-1h(r,PGID,y0)0modp
如果成立,每个Pi∈G计算si=+αi+xiyih(r,PGID,y0)(modq)。
(5)每个Pi∈G产生一个t-1阶的秘密多项式:
fi(x)=si+a(i,1)x+…+a(i,t-1)xt-1modq
这里,a(i,1),…,a(i,t-1)是随机数。
计算fj(i)(1≤i,j≤n,i≠j)给其他成员,计算并广播ga(u,v)(1≤u≤n,1≤v≤t-1)。
每个Pi收到来自Pj的fj(i)(1≤i,j≤n,i≠j)后,通过下式验证fj(i)的正确性:
gfj(i)=gs~rjyjyjh(r,PGID,y0)-1(ga(j,1))i(ga(j,2))i2…(ga(j,t-1))it-1modp
如果成立,记f(x)=∑nj=1fj(x)modq,则计算
xi′=f(i)=∑ni=1si+a1i+…+at-1it-1modq
这里aj=∑ni=1a(i,j)modp(j=1,…,t-1)。
2.2代理签名的产生阶段
设D={P1,P2,…,Pt}是t个代理签名人,他们想对消息m生成代表原始签名人的代理签名。
他们共同合作执行以下步骤:
(1)每个Pi∈D随机地产生一个t-1阶的秘密多项式:
fi′(x)=a(i,0)′+a(i,1)′x+…+a(i,t-1)′xt-1modq
然后计算并广播fj′(i)(1≤i,j≤n,i≠j)和ga(u,v)′(1≤u≤n,1≤v≤t-1)给其他成员。
每个Pi收到来自Pj的fj′(i)(1≤i,j≤n,i≠j)后,通过下式验证fj′(i)的正确性:
gfj′(i)=ga(j,0)′(ga(j,1)′)i(ga(j,2)′)i2…(ga(j,t-1)′)it-1modp
如果成立,则计算:
xi″=f′(i)=a0′+a1′i+…+at-1′it-1modq
这里aj′=∑ti=1a(i,j)′modp(j=0,1,…,t-1)。
(2)每个Pi∈D计算K=ga0′modp和Ti=xi′h(m)+xi″K(modq),然后把Ti广播给D中的其他代理签名人。
当收到所有的Tj(j≠i)后,每个Pi通过下列方程来验证Tj(j≠i)的有效性:
gTj=[gn∏nk=1rk∏nk=1yykh(r,PGID,y0)k-n∏nk=1(ga(k,1))j∏nk=1(ga(k,2))j2…
∏nk=1(ga(k,t-1))jt-1]h(m)×[∏tk=1ga(k,0)′∏tk=1(ga(k,1)′)j∏tk=1(ga(k,2)′)j2…
∏tk=1(ga(k,t-1)′)jt-1]Kmodp
记f?
C′(x)=∑tj=1fj′(x)modq
f″(x)=f(x)h(m)+f?
C′(x)Kmodq
(3)每个Pi∈D能对Ti应用Lagrange插值多项式计算:
T=f(0)h(m)+f?
C′(0)Kmodq
则(r,PGID,K,T)即为消息m的代理签名。
2.3代理签名的验证阶段
验证者收到消息m的代理签名(r,PGID,K,T)后,利用下式来验证代理签名的正确性:
gT=((y0∏ni=1yyii)h(r,PGID,y0)r)h(m)KKmodp
3文献[7]的门限代理签名方案的密码学分析
3.1攻击1:
替换公钥攻击
下面给出原始签名人与某个代理人如Pi合作,利用替换公钥的方法假冒n个代理签名人对任意的消息产生一个有效的代理签名方案。
设任取的消息为m′,攻击方案如下:
(1)由于Pi知道自己代理的子密钥
xi′=f(i)=∑nj=1sj+∑t-1j=1ajijmodq=x0h(r,PGID,y0)+(n+∑nj=1αj)+h(r,PGID,y0)∑nj=1xjyj+∑t-1j=1ajij(modq)
其中aj=∑ni=1a(i,j)modp(j=1,…,t-1)。
计算
σ=xi′(h(r,PGID,y0))-1=x0+(n+∑nj=1αj)(h(r,PGID,y0))-1+∑nj=1xjyj+∑t-1j=1ajij(h(r,PGID,y0))-1(modq)
并把σ发送给原始签名人。
(2)原始签名人计算新的公钥
y0′=y0(r(ga(j,1))i(ga(j,2))i2…(ga(j,t-1))it-1)(h(r,PGID,y0))-1modp
并且按需要修改代理证书PGID为PGID′。
(3)原始签名人任取a∈Z*q,计算r′=gamodp。
(4)原始签名人任取b∈Z*q,计算K′=gbmodp。
(5)原始签名人计算T′=(σh(r′,PGID′,y0′)+a)h(m′)+bK′(modq),则(r′,PGID′,K′,T′)即为消息m′的有效代理签名,因为代理签名的验证者能验证该代理签名的合法性:
((y0′∏ni=1yyii)h(r′,PGID′,y0′)r′)h(m′)(K′)K′=((y0(r(ga(j,1))i(ga(j,2))i2…
(ga(j,t-1))it-1)(h(r,PGID,y0))-1∏ni=1yyii)h(r′,PGID′,y0′)r′)h(m′)(K′)K′=
g((x0+∑ni=1xiyi+(n+∑nj=1aj+∑t-1j=1ajij)(h(r,PGID,y0))-1)h(r′,PGID′,y0′)+a)h(m′)+bK′=
g(σh(r′,PGID′,y0′)+a)h(m′)+bK′=gT′modp
所以,攻击成功。
3.2攻击2:
代理关系转换攻击
下面给出n个代理签名人合作对任意的消息产生一个代理多重签名方案,验证者能够确信该代理签名是原始签名人P0代表n个代理签名人G={P1,P2,…,Pn}产生的代理多重签名。
设任取的消息为m′,攻击方案如下:
(1)n个代理签名人修改代理证书PGID为PGID′,着重修改原始签名群和代理签名人的身份信息和代理关系,其他内容如签名文件的类型、代理时间等按需要修改。
(2)任取b∈Z*q,计算K′=gbmodp。
(3)任取a∈Z*q,计算r′=gamodp。
(4)计算s′=ny0(h(r,PGID,y0))-1=x0y0+y0(h(r,PGID,y0))-1(modq)。
(5)n个代理签名人中的任一成员如P1修改自己的公钥y1为y1′=y1y0(h(r,PGID,y0))-1modp
然后,计算群公钥Y′=y1′y2y3…ynmodp。
(6)G={P1,P2,…,Pn}中的每个成员计算并广播Ti。
Ti′=((s′n-1+xi)h(r′,PGID′,Y′)+an-1)h(m′)+bK′n-1(modq)
(7)计算T′=∑ni=1Ti′modq,则(r′,PGID′,K′,T′)即为消息m′的、由n个代理签名人假冒原始签名人P0产生的、代表G={P1,P2,…,Pn}的有效代理签名。
因为代理签名的验证者能从PGID′中明确代理关系,而且可以验证该代理签名的合法性:
((yy00y1′∏ni=2yi)h(r′,PGID′,Y′)r′)h(m′)(K′)K′=((yy00y1y0(h(r′,PGID,y0))-1∏ni=2yi)h(r′,PGID′,Y′)r′)h(m′)(K′)K′=g((s′+∑ni=1xi)h(r′,PGID′,Y′)+a)h(m′)+bK′=g∑ni=1Ti′=gT′modp
以上两种攻击方案表明文献[7]的门限代理签名方案存在安全上的漏洞,这两种攻击方法同样能够攻击文献[6]的门限代理签名方案。
4改进方案及其分析
4.1改进方案
改进方案的系统参数与文献[7]的门限代理签名方案相同,它由代理密钥产生阶段、代理签名产生与验证三个阶段组成。
4.1.1代理密钥产生阶段
(1)原始签名人随机选取∈RZq,计算并广播=gk~modp。
(2)每个Pi∈G随机选取αi∈RZq,计算ri=gαimodp,使得ri∈Z*p成立,然后广播ri。
(3)原始签名人计算r=∏ni=1ri,=x0y0h(r,PGID,y0,Y)+n(modq),然后用(t,n)VSS方案把分配给n个代理人。
选取t-1阶的秘密多项式:
f0(x)=+a01x+…+a0t-1xt-1modq
将c0i=ga0imodp(i=1,2,…,t-1)公开,将s0i=f0(i)modq密送给每个Pi∈G。
(4)每个Pi∈G计算r=∏ni=1ri,并通过下式检查s0i的正确性:
gs0i=yy0h(r,PGID,y0,Y)0n∏t-1j=1(c0j)ijmodp
(5)每个Pi∈G产生一个t-1阶的秘密多项式:
fi(x)=αi+xiYh(r,PGID,y0,Y)+a(i,1)x+…+a(i,t-1)xt-1modq
这里,a(i,1),…,a(i,t-1)是随机数。
计算fj(i)(1≤i,j≤n,i≠j)给其他成员,计算并广播ga(u,v)(1≤u≤n,1≤v≤t-1)。
每个Pi收到来自Pj的fj(i)(1≤i,j≤n,i≠j)后,通过下式验证fj(i)的正确性:
gfj(i)=rjyYh(r,PGID,y0,Y)j-1(ga(j,1))i(ga(j,2))i2…(ga(j,t-1))it-1modp
如果成立,记f(x)=∑nj=1fj(x)modq,每个Pi计算xi′=f(i),则f(0)=∑ni=1αi+Yh(r,PGID,y0,Y)∑ni=1xi(modq)。
4.1.2代理签名的产生阶段
设D={P1,P2,…,Pt}是t个代理签名人,他们想对消息m生成代表原始签名人的代理签名,并共同合作执行以下步骤:
(1)每个Pi∈D随机地产生一个t-1阶的秘密多项式:
fi′(x)=a(i,0)′+a(i,1)′x+…+a(i,t-1)′xt-1modq
然后计算并广播fj′(i)(1≤i,j≤n,i≠j)和ga(u,v)′(1≤u≤n,1≤v≤t-1)给其他成员。
每个Pi收到来自Pj的fj′(i)(1≤i,j≤n,i≠j)后,通过下式验证fj′(i)的正确性:
gfj′(i)=ga(j,0)′(ga(j,1)′)i(ga(j,2)′)i2…(ga(j,t-1)′)it-1modp
如果成立,则计算:
xi″=f′(i)=a0′+a1′i+…+at-1′it-1modq
这里aj′=∑ti=1a(i,j)′modp(j=0,1,…,t-1)。
(2)每个Pi∈D计算K=ga0′modp和Ti=(s0i+xi′)h(m,K,r,PGID,y0,Y)+xi″K(modq),然后将Ti广播给D中的其他代理签名人。
当收到所有的Tj(j≠i)后,每个Pi通过下列方程来验证Tj(j≠i)的有效性:
gTj=(yy0h(r,PGID,y0,Y)0∏t-1j=1(c0j)ijrYYh(r,PGID,y0,Y)×∏nk=1(ga(k,1))j
∏nk=1(ga(k,2))j2…∏nk=1(ga(k,t-1))jt-1)h(m,K,r,PGID,y0,Y)×(∏tk=1ga(k,0)′
∏tk=1(ga(k,1)′)j∏tk=1(ga(k,2)′)j2…∏tk=1(ga(k,t-1)′)jt-1)Kmodp
记f′(x)=∑tj=1fj′(x)modq
f″(x)=(f0(x)+f(x))h(m)+f′(x)Kmodq
(3)每个Pi∈D能对Ti应用Lagrange插值多项式计算:
T=(+f(0))h(m)+f′(0)Kmodq
则(r,PGID,K,T)即为消息m的代理签名。
4.1.3代理签名的验证阶段
验证者收到消息m的代理签名(r,PGID,K,T)后,利用下式来验证代理签名的正确性:
gT=((yy00YY)h(r,PGID,y0,Y)r)h(m,K,r,PGID,y0,Y)KKmodp
4.2改进方案的安全性分析
下面讨论改进的方案能够抵抗我们提出的攻击方法和文献[6]中提出的攻击方法的攻击。
利用攻击1的方法进行攻击,原始签名人与某个代理人如Pi合作,则可以计算
σ=(xi′+)(h(r,PGID,y0,Y))-1=(x0y0+∑nj=1xjY)+(n+∑nj=1αj+∑t-1j=1ajij)(h(r,PGID,y0,Y))-1(modq)
原始签名人计算新的公钥y0′满足(y0′)y0′=yy00(r(ga(j,1))i(ga(j,2))i2…(ga(j,t-1))it-1)(h(r,PGID,y0,Y)-1modp
是不可能的,除非他们能够解离散对数问题。
利用攻击2的方法进行攻击,n个代理签名人合作,其中某个代理人如P1需要修改公钥成y1′,需满足(y1′)y1′=yy11(h(r,PGID,y0,Y))-1modp,这也是不可能的,除非他们能够解离散对数问题。
另一方面,尽管原始签名人的公钥y0与n个代理签名人的公钥积Y在门限代理签名的验证方程中的表现形式似乎具有对称关系(yy00YY),但n个代理签名人无法修改代理证书PGID,所以验证者不会误认相互之间的代理关系。
由于我们提出的改进方案中结合了文献[6]中的改进方案,所以也能抵抗文献[6]中提出的代理签名的产生不一定完全遵守规定门限值的弱点。
所以,我们提出的改进方案是安全的。
5结论
本文对文献[7]提出的门限代理签名的改进方案进行了密码学分析,指出他们的方案依然无法抵抗替换公钥的攻击,同时提出了一种新的攻击方法――代理关系转换攻击,成功地攻击了他们的方案。
该攻击方法对设计安全的代理签名有重要价值,提出的两种攻击方法同样能攻击Hsu等人[6]提出的改进方案。
最后给出了门限代理签名的进一步改进方案。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一个 门限 代理 签名 方案 进一步 改进