基于DSA變形的有向門(mén)限群簽名方案

謝 冬,李佳佳,沈忠華

(杭州師范大學(xué)理學(xué)院,浙江 杭州 310036)

基于DSA變形的有向門(mén)限群簽名方案

謝 冬,李佳佳,沈忠華

(杭州師范大學(xué)理學(xué)院,浙江 杭州 310036)

為了保護(hù)接收者的隱私，有向簽名方案要求簽名的驗(yàn)證必須得到接收者或簽名者的合作.基于門(mén)限群簽名秘密共享的思想以及離散對(duì)數(shù)的難解性，設(shè)計(jì)了一種新的有向門(mén)限群簽名方案.分析表明，該方案具有安全性，與其他已存在的有向門(mén)限群簽名方案相比，還具有一定的穩(wěn)定性.

門(mén)限群簽名；有向門(mén)限群簽名；秘密共享；離散對(duì)數(shù)

0 引 言

數(shù)字簽名技術(shù)在當(dāng)今社會(huì)中具有非常重要的應(yīng)用.門(mén)限簽名是一類(lèi)重要的數(shù)字簽名，一個(gè)(t,n)門(mén)限簽名方案是指n個(gè)成員組成的群中，群中任何不少于t個(gè)成員合作就能產(chǎn)生有效的群簽名，但任何少于t個(gè)成員合作都無(wú)法產(chǎn)生有效的群簽名.此外，簽名的接收者可以利用公開(kāi)的群公鑰來(lái)驗(yàn)證群簽名的有效性.1991年Desmedt與Frankel首次提出了基于RSA的(t,n)門(mén)限群簽名方案[1]，t個(gè)或者多于t個(gè)成員能代表整個(gè)群為消息生成有效的群簽名.從此，各類(lèi)門(mén)限群簽名方案相繼被提出[2-3].然而，現(xiàn)有的大多數(shù)門(mén)限群簽名方案或多或少的存在一些缺點(diǎn)，例如當(dāng)加入或者刪除群成員時(shí)，需要比較復(fù)雜的操作，需改變其他成員的私鑰，計(jì)算效率低.

在傳統(tǒng)的數(shù)字簽名中，任何擁有簽名拷貝的人都可以利用簽名者的公鑰來(lái)驗(yàn)證簽名的有效性.而在現(xiàn)實(shí)生活中，一些數(shù)字簽名可能包含有對(duì)簽名接受者敏感的信息，如匯票、稅務(wù)信息、醫(yī)療記錄等等，這些簽名最好只能由接收者驗(yàn)證.為了解決這樣的問(wèn)題，Lim和Lee提出了有向簽名的概念[4]，對(duì)于消息上的簽名只有消息接收方才能驗(yàn)證，任何第三方需要驗(yàn)證此簽名的有效性都必須在接收者的合作下才能完成.張等人提出了一個(gè)基于離散對(duì)數(shù)的有向簽名方案[5]，并基于此有向簽名方案設(shè)計(jì)了一個(gè)帶有離線半可信第三方的公平交換協(xié)議.沈提出了一個(gè)基于中國(guó)剩余定理的(t,n)有向門(mén)限簽名方案[6]，此方案中簽名需要特定的用戶參與，計(jì)算效率方面也具有一定的優(yōu)勢(shì).

目前提出的許多門(mén)限簽名方案均是一種理想化模型，在實(shí)際應(yīng)用中存在著一些缺陷，如權(quán)利分配過(guò)于平均.事實(shí)上，無(wú)論是一個(gè)公司還是政府機(jī)關(guān)，權(quán)利分配都不是絕對(duì)平均的.在一些企業(yè)中，某些人對(duì)公司的重大決策具有一票否決權(quán)，例如獨(dú)資企業(yè)的總經(jīng)理或合資企業(yè)股份超過(guò)百分之五十的大股東.現(xiàn)有的大多數(shù)方案[6-7]均不能解決這樣的問(wèn)題，因?yàn)槿我鈚個(gè)群成員就可以代表群產(chǎn)生一個(gè)合法的群簽名.為了解決以上問(wèn)題，本文基于門(mén)限群簽名秘密共享的思想，提出了一種安全的有向門(mén)限群簽名方案.在新方案中，安全的簽名合成器參與到群簽名中來(lái)，沒(méi)有簽名合成器的參與，群中t個(gè)或多于t個(gè)成員也無(wú)法生成有效的群簽名.此外，系統(tǒng)還具有良好的穩(wěn)定性.

1 方案的描述

本方案的實(shí)體由一個(gè)可信的份額分配中心DC(Distribution Center)和一個(gè)安全的簽名合成器SC以及群全體人員集P={Q1,…,Qn}組成.為了增加系統(tǒng)的安全性，SC也產(chǎn)生一個(gè)份額簽名，最終的群簽名需要SC協(xié)助產(chǎn)生.該方案由系統(tǒng)初始化、群公鑰及份額密鑰的生成、份額簽名的生成、份額簽名的驗(yàn)證及群簽名的合成和群簽名的驗(yàn)證5部分組成.

1.1 系統(tǒng)初始化

DC選取兩個(gè)充分大的素?cái)?shù)p、q以及公開(kāi)的單向安全的Hash函數(shù)H(·)，其中p和q滿足p=2q+1.選取GF(p)中的階為q的元素g(g>1).p、q和g為系統(tǒng)參數(shù)，在系統(tǒng)內(nèi)公開(kāi).

1.2 群公鑰及份額密鑰的生成

1.3 份額簽名的生成

若t個(gè)群成員構(gòu)成集U={Q1,Q2,…,Qt}同意代表整個(gè)群對(duì)消息m進(jìn)行簽名，則每個(gè)群成員Qi∈U完成以下步驟產(chǎn)生份額簽名.

2．SC收到Qi發(fā)送來(lái)的{H(xi),εi1,εi2}后，通過(guò)驗(yàn)證等式gεi2=εi1·gH(xi)εi1modp是否成立來(lái)判斷{H(xi),εi1,εi2}的有效性.當(dāng)SC驗(yàn)證了t個(gè){H(xi),εi1,εi2}有效后，收集所有的H(xi)(i=1,2,…,t)并與(Di,xi0)中的Di比對(duì)，找出相對(duì)應(yīng)的i及此時(shí)所對(duì)應(yīng)的份額密鑰xi0(以下記作x0)，以便SC協(xié)助完成群簽名.

5.U中每個(gè)成員Qi計(jì)算：

(1)

Qi將{vi,ri,si}作為自己的份額簽名發(fā)送給SC.

1.4 份額簽名的驗(yàn)證及群簽名的合成

SC收到群成員Qi的份額簽名{vi,ri,si}后，首先計(jì)算R,W和c，然后通過(guò)驗(yàn)證下式是否成立來(lái)驗(yàn)證份額簽名的有效性.SC然后計(jì)算：

(2)

若vi′=vi，則確認(rèn)簽名{vi,ri,si}是有效的.

當(dāng)SC收集到t個(gè)份額簽名后，SC首先按照式(1)計(jì)算自己的份額簽名，然后將簽名進(jìn)行合并：

(3)

則信息m的門(mén)限群簽名是{S,R,c,m}.SC將合成的群簽名{S,R,c,m}發(fā)送給接收者B.

1.5 群簽名的驗(yàn)證

B收到SC發(fā)來(lái)的簽名后，首先計(jì)算u=Sycmodp和W′=uxBmodp，最后通過(guò)驗(yàn)證等式c=H(R,W′,m)modq是否成立來(lái)驗(yàn)證群簽名的有效性.

如果其他第三方C需要驗(yàn)證此簽名的有效性，都必須求得B的合作.B首先將{S,R,c,W′,m,u}發(fā)送給C，C首先驗(yàn)證等式c=H(R,W′,m)modq是否成立，若不成立則停止驗(yàn)證過(guò)程；若成立，B以交互零知識(shí)的方式[5]向C驗(yàn)證loguW′=loggyBmodp是否成立，若成立則證明了簽名的有效性.

2 方案的證明

定理1U中每個(gè)成員使用式(1)來(lái)簽名，SC應(yīng)用式(2)計(jì)算vi′，當(dāng)vi′=vi時(shí)，SC確認(rèn)簽名是有效的.

故定理得證.

定理2 若SC按照式(3)將份額簽名合并，則生成的群簽名能通過(guò)接收者的驗(yàn)證.

3 安全性分析

定理3 在該門(mén)限簽名方案中，若群成員不故意公開(kāi)自己的私鑰，則整個(gè)過(guò)程群成員的私鑰都不會(huì)泄露.

證明在份額簽名產(chǎn)生階段，集合U中的簽名成員私鑰不會(huì)泄露.若攻擊者想要通過(guò)H(xi)來(lái)求出xi，這是不可行的，因?yàn)镠(·)是安全的單向函數(shù).若攻擊者想要通過(guò)份額簽名{vi,ri,si}來(lái)求xi，這可以歸結(jié)為離散對(duì)數(shù)問(wèn)題，在計(jì)算上也是不可行的.顯然，群簽名的產(chǎn)生階段也不會(huì)泄露各個(gè)參與簽名成員的私鑰.故定理得證.

定理4 該門(mén)限群簽名方案具有不可偽造性.

證明首先，攻擊者偽造份額簽名是不可行的.簽名者將份額簽名發(fā)送給SC，SC首先要對(duì)份額簽名進(jìn)行驗(yàn)證，只有合法的簽名才能被接受.在簽名等式(1)中，有3個(gè)未知的量ki、xi以及λi，而從vi、yi以及ri中求出ki、xi和λi是離散對(duì)數(shù)問(wèn)題，在計(jì)算上是不可行的，所以要想確定一個(gè)有效的份額簽名基本上是不可行的.其次，惡意攻擊者偽造群簽名也是不可行的.因?yàn)閭卧斓娜汉灻囟ú粫?huì)通過(guò)等式c=H(R,W′,m)modq的驗(yàn)證.

定理5 當(dāng)簽名產(chǎn)生糾紛時(shí)，在DC的幫助下可以追查簽名者的身份信息，并且參與此次簽名的成員具有不可否認(rèn)性.

證明份額簽名發(fā)給SC后，SC首先驗(yàn)證簽名的有效性，當(dāng)t個(gè)簽名成員的份額簽名有效時(shí)，SC合成簽名.根據(jù)份額簽名的產(chǎn)生步驟，SC在合成群簽名之前已經(jīng)通過(guò)Di的比對(duì)找到相應(yīng)的i.當(dāng)發(fā)生簽名糾紛時(shí)，SC將比對(duì)結(jié)果i秘密發(fā)送給DC，DC查看保存的數(shù)據(jù)就可知道是哪組{Qi1,Qi2,…,Qit}參與了此次簽名.若簽名者想要否認(rèn)參與了此次簽名，則SC出示簽名者的{H(xi),εi1,εi2}，用來(lái)證明簽名成員確實(shí)參與了此次簽名.

4 可行性分析

4.1 新方案具有良好的穩(wěn)定性

4.2 新方案在效率方面也存在一定的優(yōu)勢(shì)

從參數(shù)設(shè)置方面來(lái)看，本方案的私有參數(shù)和公有參數(shù)只各需一個(gè)，分別是xi和yi，而其他大多數(shù)門(mén)限群簽名方案的參數(shù)都多于本方案，例如文獻(xiàn)[8]中需要2個(gè)私有參數(shù)和3個(gè)共有參數(shù)，分別是((fs(xsi),fb(xsi))和(ysi,yvj,ybi).從計(jì)算效率方面來(lái)看，大多數(shù)存在的門(mén)限簽名方案的構(gòu)造都是基于拉格朗日插值多項(xiàng)式或中國(guó)剩余定理[6]的，而本方案在系統(tǒng)初始化時(shí)就計(jì)算出所有可能出現(xiàn)的簽名成員集.在份額簽名產(chǎn)生階段，SC首先只需對(duì)數(shù)據(jù)進(jìn)行比對(duì)就可產(chǎn)生自己的份額密鑰，份額簽名的產(chǎn)生只需一次模加、兩次模乘和一次模冪運(yùn)算，非常適合于具有較小計(jì)算能力的簽名者.

4.3 在特定情況下，該方案具有一定的實(shí)用性

現(xiàn)有的大多數(shù)門(mén)限簽名方案大多是一種理想情況，每個(gè)用戶的權(quán)力比較平均，而沒(méi)有一種具有“一票否決”性質(zhì)的門(mén)限簽名方案.本方案與其他門(mén)限簽名方案相比最大的區(qū)別就是有效群簽名的生成必須要有SC的參與.在SC是可信的前提下，這也大大地增加了系統(tǒng)的安全性.

5 結(jié)束語(yǔ)

本文基于秘密共享的思想，采用了DSA的變形，提出了一個(gè)新的有向門(mén)限群簽名方案.分析表明該方案具有簽名不可偽造性、身份可追查性等安全特性，同時(shí)在穩(wěn)定性、效率以及實(shí)用性方面也具有一定的優(yōu)勢(shì).

[1] Desmedt Y, Frankel Y. Shared generation of authenticator and signatures (Extended Abstract)[C]//J. Feigenbaum(Ed.), Advances in Cryptology-CRYPTO’91. Berlin: Springer-Verlag,1992:457-469.

[2]Wang G T, Lin C H, Chang C C. Threshold signature schemes with traceable signers in group communications[J]. Computer Communications,1998,21(8):271-276.

[3] 謝琪，于秀源.基于分組秘密共享的(t,n)門(mén)限群簽名體制[J].計(jì)算機(jī)學(xué)報(bào)，2005，28(2)：209-213.

[4] Lim C H, Lee P J. Modified Maurer-Yacobi’s Scheme and Its Applications[C]//Advances in Cryptology-Auscrypt’92. Berlin: Springer-Verlag,1993:308-323.

[5] 張彰，王培春，肖國(guó)鎮(zhèn).基于離散對(duì)數(shù)的有向簽名方案及其應(yīng)用[J].西安電子科技大學(xué)學(xué)報(bào):自然科學(xué)版，2002,29(4):510-512.

[6] 沈忠華.基于中國(guó)剩余定理的(t,n)有向門(mén)限簽名方案[J].浙江大學(xué)學(xué)報(bào)：理學(xué)報(bào)，2010，37(1)：42-45.

[7] 荊繼武，馮登國(guó).一種入侵容忍的CA方案[J].軟件學(xué)報(bào)，2002，13(8)：1417-1422.

[8] Hsu C L, Wu T C. Improvements of threshold signature and authenticated encryption for group communications[J]. Inform Process Lett,2002,81(1)：41-45.

ADirectedThresholdGroupSignatureSchemeBasedonDSADeformation

XIE Dong, LI Jia-jia, SHEN Zhong-hua

(College of science, Hangzhou Normal University, Hangzhou 310036, China)

In order to protect the privacy of the signature receiver, directed signature scheme demands that the signature can be verified only with the cooperation of the signature receiver or the signer. Based on the secret sharing scheme of thresshold group signature and the intractability of discrete logarithm, a new directed threshold group signature scheme was proposed. The analysis shows that this scheme is secure. Comparing to other existing directed threshold group schemes, it has certain stability.

threshold group signature; directed threshold group signature; secret sharing ; discrete logarithm

2012-03-05

沈忠華(1973—)，男，副教授，主要從事密碼學(xué)研究.E-mail：ahtshen@126.com

11.3969/j.issn.1674-232X.2012.05.012

TP309MSC2010: 94A60

A

1674-232X(2012)05-0443-04