基于l-MOMSDH假設(shè)的短群簽名DAA方案

周雁舟,張煥國,李立新,宋 揚

(1.武漢大學計算機學院,武漢 430072;2.信息工程大學電子技術(shù)學院,鄭州 450004;3.解放軍 65711部隊,大連 116500)

基于l-MOMSDH假設(shè)的短群簽名DAA方案

周雁舟1,2,張煥國1,李立新2,宋 揚3

(1.武漢大學計算機學院,武漢 430072;2.信息工程大學電子技術(shù)學院,鄭州 450004;3.解放軍 65711部隊,大連 116500)

提出將標準模型下基于l-MOMSDH假設(shè)的短群簽名方案作用于DAA協(xié)議,該協(xié)議基于Fiat-Shamir啟發(fā)式設(shè)計思想,完成了協(xié)議知識簽名的數(shù)學構(gòu)造,實現(xiàn)了非交互式零知識證明到知識簽名的轉(zhuǎn)化.具有簽名長度短、運行效率高及標準模型下可證安全等特性,提高了現(xiàn)有協(xié)議的安全性,同時兼顧協(xié)議執(zhí)行效率.

可信計算平臺;遠程證明;直接匿名證明;標準模型;短群簽名

2004年,IBM瑞士蘇黎士研究部門卡梅尼希、惠普陳立群及英特爾布里克爾等人借鑒了群簽名、零知識證明和知識名等技術(shù),提出了最初的直接匿名認證(direct anonymous attestation,DAA)協(xié)議,簡稱BCC協(xié)議[1-2],2008年,DAA協(xié)議的創(chuàng)建者又提出一種更為高效的DAA協(xié)議,稱之為BCL協(xié)議[3],隨后,惠普的陳立群等人對BCL協(xié)議做了更進一步的改進,降低了TPM的運算量,稱之為CMP協(xié)議[4-5].

本文提出將梁曉輝等人設(shè)計的標準模型下的可證安全短群簽名協(xié)議[6](shortgroup signature,SGS)作用于DAA協(xié)議的方案.分析證明該方案具有簽名長度短、運行效率高及標準模型下可證安全等特性,在提高現(xiàn)有協(xié)議的安全性的同時兼顧協(xié)議的執(zhí)行效率.

1 基于l-MOMSDH假設(shè)的短群簽名DAA方案

本節(jié)提出一種新的DAA協(xié)議:基于l-MOMSDH假設(shè)[6]的短群簽名DAA方案(based on short group signature DAA,BSD),并給出協(xié)議各組成部分的詳細描述.

安全參數(shù)見表1.

表1 協(xié)議中的安全參數(shù)Table 1 Security param eters in the p rotoco l

1.1 Setup算法

Issuer選取整數(shù)x,y∈RZn,分別計算.Issuer公布公鑰kp=(g,X,Y,h,u),保存私鑰ks=(x,z).

在協(xié)議初始化階段,假定每個u的{ccomm}及{ccre}均為空;每個Issuer的RougeList(I)空;每個Verifier的RougeList(V)及{bbsn}均為空.

1.2 Join協(xié)議

1)Issuer首先計算sstr←g‖X‖Y‖u‖h‖nI,選取隨機數(shù)nI={0,1}lH,并將(sstr,nI)發(fā)送給 Host/TPM.

2)隨后TPM計算f:=H1(DAASeed‖KI),F:=gf,隨選整數(shù)r0∈Zn及隨機數(shù)nT←{0,1}lΦ,分別計算R0:=gr0mod n,C:=H1(sstr‖F(xiàn)‖R0‖nT)和Rf:=r0+C·f mod n,組建ccomm←(F,C,Rf,nT),并經(jīng) Host發(fā)送給Issuer.

3)Issuer接收到ccomm后,依據(jù)保存的記錄及自身策略判斷是否接受該ccomm.如果F是由一個惡意TPM計算得來或沒有經(jīng)過Issuer策略檢測,Issuer將中止協(xié)議,如果驗證通過,Issuer執(zhí)行以下操作:

②其次,Issuer依據(jù)RogueList(I)上所有的fi值重新計算F,如果重新計算的F值與ccomm中的F值不同,Issuer將中止協(xié)議;

4)Host將證書轉(zhuǎn)發(fā)給TPM,TPM經(jīng)EK私鑰解密后,計算d:=af,一并發(fā)送給Host.

5)Host通過驗證以下2個等式是否成立判定證書在計算上的正確性:

e(a,F)=e(g,d),e(XY,b)·e(g,g)-1=e(gFX,c)·e(g,u)-1.

6)如果驗證通過,TPM將調(diào)用其ks密鑰,加密存儲證書.否則,Host/TPM將中止協(xié)議.

1.3 Sign協(xié)議

1)Verifier選取本次簽名所需的基名bbsn及用于抵御重放攻擊的隨機數(shù)nV,一并發(fā)送給Host/TPM.

2)TPM將依據(jù)bbsn的不同選取不同的D值:如果;如果,計算D:=HGT(1‖bbsn),同時計算 K:=Df,E:=gF,并將(D,K,E)值發(fā)送給Host.

4)Host生成知識簽名所需的參數(shù)I1:=e(a,b),I2:=e(a,c),I3:=e(F,bc).

5)Host/TPM聯(lián)合為消息m計算知識簽名,表述如下:

①Host隨機選取整數(shù)r4∈Zn,計算并發(fā)送給TPM;

③Host隨后計算s1:=r4+c·r mod n,并構(gòu)造最后的簽名 σ=(D,E,K,A,B,C,I1,I2,I3,c,s1,s2).

1.4 Verify算法

Verify算法驗證了由證明方依據(jù)驗證方Verifier選取的基名bbsn及證明方DAA證書生成的知識簽名σ,包括DAA證書的有效性驗證、驗證證書與平臺的對應關(guān)系驗證、惡意TPM的檢測等.驗證過程與BCLDAA類似.

1.5 RogueTagging算法

證明過程與BCL-DAA協(xié)議類似.

1.6 Linking算法

證明過程與BCL-DAA協(xié)議類似.

2 協(xié)議證明

2.1 正確性

如果簽名方與驗證方都是誠實的,或者說f?RogueList(V),簽名者產(chǎn)生的簽名及簽名間的關(guān)聯(lián)性是可以被驗證方的Verify算法及Linking算法驗證通過的.也就是說,BSD協(xié)議滿足以下一致性要求.即:

2.2 完備性

如果證明方和驗證方都是誠實的可信平臺,那么BSD協(xié)議的簽名算法與驗證算法應該滿足協(xié)議完備性.驗證方對簽名的驗證主要體現(xiàn)在下列等式的驗證:

1)驗證以下等式,判定證書合法性.

易于證明等式(1)、(2)成立.

2)驗證簽名中的c值與驗證方重新計算的c值是否相等,驗證證書與平臺的對應關(guān)系.具體驗證包括驗證等式是否成立.證明如下

同理可證 T3=T′3.

2.3 用戶可控匿名性

BSD協(xié)議中的用戶可控匿名性滿足以下2個安全屬性:

1)匿名性.1個不具有簽名方私鑰的攻擊者A無法從簽名本身推斷出簽名方身份.

2)用戶可控不可關(guān)聯(lián)性.給出基于sbsn0和bbsn1的2個簽名 σ0和 σ1,其中個不具有簽名者私鑰的攻擊者A很難分辨出(σ0,σ1)是否出自于同一個簽名方.

2.4 用戶可控追蹤性

BSD協(xié)議中的用戶可控追蹤性要滿足以下2個安全屬性:

1)不可偽造性:攻擊者A已經(jīng)攻破了1組簽名者,獲取了它們的私鑰及證書.但A很難依據(jù)不屬于該組的私鑰及證書偽造1個有效簽名.

2.5 標準模型下可證安全性

定理1:如果l-MOMSDH假設(shè)在群G1中成立,離散對數(shù)問題在G1中是難以解決的,哈希函數(shù)H2和H3具有抗碰撞性,那么BSD協(xié)議在標準模型下是可證安全的.

BSD協(xié)議的安全證明采用與BCC方案相同的安全證明模型:“理想系統(tǒng)/真實系統(tǒng)(Ideal System/Real System)”(簡稱為IS/RS)[7-8].

3 結(jié)束語

本文提出了一種新的直接匿名證明協(xié)議,采用標準模型下的基于l-MOMSDH假設(shè)的短群簽名方案作為協(xié)議的理論支撐,并基于Fiat-Shamir啟發(fā)式設(shè)計思想,完成了協(xié)議知識簽名的數(shù)學構(gòu)造,實現(xiàn)了非交互式零知識證明到知識簽名的轉(zhuǎn)化.通過分析和證明,該方案具有的簽名長度短、運行效率高及標準模型下可證安全等特性,提高了現(xiàn)有協(xié)議的安全性和效率.

[1]KILIAN J,PETRANK E.Identity escrow[C]∥Crytology-CRYPTO'98.California,USA:Springer,1998:169-185.

[2]BRICKELL E,CAMENISCH J,CHEN Li-qun.Direct anonymous attestation[C]∥CCS'04.Washington,DC,USA:ACM,2004:132-145.

[3]BRICKELL E,CHEN Li-qun,LI Jiang-tao.Simplified security notions of directanonymous attestation and a concrets scheme from parings[C]∥TRUST2008.Villach,Austria:Springer,2008:25-45.

[4]CHEN Li-qun,MORRISSEY P,SMART N P.Pairing in trusted computing[C]∥Pairing in Cryptography-Pairing 2008.London:Springer,2008:1-17.

[5]CHEN Li-qun,MORRISSEY P,SMART N P.On proof of security for DAA schemes[C]∥ProvSec 2008.Shanghai:Springer,2008:156-175.

[6]LIANG Xiao-hui,CAOZhen-fu,SHAO Jun,et al.Shortgroup signature without random oracles[C]∥ICICS 2007.Beijing:Springer,2007:69-82.

[7]CANETTIR.Studies in securemultiparty computation and app lications[D].Israel:Weizmann Institute,1995.

[8]PFOTZMANN B,WAIDNER M.Composition and integrity preservation of secure reactive systems[C]∥The 7th ACM Comference on Computer and Communication Security.Athens,Greece:ACM,2004:245-254.

(責任編輯 苗艷玲)

A Short Group Signature DAA Scheme Based on l-Modified One More Strong Diffie-Hellman Problem Assumption

ZHOU Yan-zhou1,2,ZHANG Huan-guo1,LILi-xin2,SONG Yang3
(1.College of Computer,Wuhan University,Whhan 430072,China;2.Institute of Electronic Technology,Information Engineering University,Zhengzhou 450004,China;3.PLA 65711 troop,Dalian 116500,China)

We deisgna DAA scheme based on Short Group Signature on l-MOMSDH assumption.On the basis of Fiat-Shamir heuristic theory,the signature of knowledge and realization of the transformation from non-interactive zero knowledge proof to signature of knowledge are introduced.Because of its short signature,high efficiency and provable security in Standard Model,the security of DAA is increased while its efficiency is also guaranteed.

trusted computing platform;remote attestation;direct anonymous attestation;standard model;short group signature

TP393

A

0254-0037(2010)05-0601-04

2009-12-10.

國家“八六三”計劃資助項目(2008AA01Z404,2006AA01Z442,2007AA01Z411);國家自然科學基金資助項目(60673071,60970115).

周雁舟(1971—),男,河南安陽人,副研究員.