一種改進(jìn)的基于雙線對(duì)的無證書簽密方案

湯鵬志,　張慶蘭,　楊俊芳

(1.華東交通大學(xué) 理學(xué)院,江西 南昌　330013; 2.華東交通大學(xué) 系統(tǒng)工程與密碼學(xué)研究所,江西 南昌　330013)

?

一種改進(jìn)的基于雙線對(duì)的無證書簽密方案

湯鵬志1,2,張慶蘭1,2,楊俊芳1,2

(1.華東交通大學(xué) 理學(xué)院,江西 南昌330013; 2.華東交通大學(xué) 系統(tǒng)工程與密碼學(xué)研究所,江西 南昌330013)

文章通過對(duì)一種新的無證書簽密方案的安全性分析,發(fā)現(xiàn)該方案存在用戶公鑰被替換的漏洞。針對(duì)此不足,提出一個(gè)改進(jìn)的方案,在隨機(jī)預(yù)言機(jī)模型中,基于離散對(duì)數(shù)問題(discrete logarithm problem,DLP)、判定雙線性Diffie-Hellman(decisional bilinear Diffie-Hellman,DBDH)問題困難性的假設(shè)下,證明了改進(jìn)方案的機(jī)密性和不可偽造性。

無證書;簽密;雙線性映射;公鑰替換;隨機(jī)預(yù)言機(jī)模型

0　引　　言

無證書公鑰密碼系統(tǒng)的概念由文獻(xiàn)[1]提出,無證書簽名方案的用戶私鑰是由用戶和密鑰生成中心(key generation center,KGC)共同協(xié)議產(chǎn)生,完整的私鑰只有用戶自己知道,從而解決了基于身份密碼系統(tǒng)中的密鑰托管問題,而且無證書密碼體制不需要用證書來綁定用戶的身份和公鑰,解決了證書管理的問題。文獻(xiàn)[2]提出了簽密方案,可以同時(shí)進(jìn)行簽名和加密,在效率上遠(yuǎn)低于傳統(tǒng)的先簽名后加密的密碼體制;針對(duì)文獻(xiàn)[2]中方案的不可公開驗(yàn)證的缺陷，文獻(xiàn)[3]給出了改進(jìn)的可公開驗(yàn)證的簽密方案;文獻(xiàn)[4]指出文獻(xiàn)[3]中的方案不滿足語(yǔ)義安全,同時(shí)改進(jìn)了原方案;文獻(xiàn)[5]首次提出了一種基于雙線性對(duì)的基于身份的簽密方案,但是方案安全性存在問題;文獻(xiàn)[6-7]在文獻(xiàn)[5]的基礎(chǔ)上提出了高效安全的簽密方案。

無證書簽密是將簽密和無證書密碼體制結(jié)合。隨著對(duì)無證書簽密體制的研究,文獻(xiàn)[8]提出了無證書簽密方案,該方案使用了5次雙線性對(duì),效率不高;為了提高效率,文獻(xiàn)[9]給出了一種高效的無證書簽密方案,該方案只用了2次雙線性對(duì);文獻(xiàn)[10]在文獻(xiàn)[9]的基礎(chǔ)上提出了一種不含雙線性對(duì)的無證書簽密方案,并證明了此方案是安全的;文獻(xiàn)[11]給出了一個(gè)標(biāo)準(zhǔn)模型下可證安全的無證書簽密體制。隨著無證書簽密體制的研究,提出了許多無證書簽密方案。文獻(xiàn)[12]提出一種新的無證書簽密方案,通過分析發(fā)現(xiàn)存在公鑰替換的漏洞,針對(duì)這一不足,本文提出了一種改進(jìn)方案,可以抵抗公鑰替換攻擊。

1　預(yù)備知識(shí)

2　新的無證書簽密方案與安全性分析

經(jīng)分析發(fā)現(xiàn)文獻(xiàn)[12]中的方案存在公鑰替換攻擊,通過具體的攻擊來證明。攻擊方法參考文獻(xiàn)[13]中的方法,假設(shè)A和B分別為簽密者和接收者,A1是類型1攻擊者,可以查詢用戶公鑰或者替換用戶的公鑰,A的私鑰為(xA,XA),公鑰為PKA,B的私鑰為(xB,XB),公鑰為PKB。攻擊者A1通過以下方法冒充A,偽造一個(gè)合法的密文。

(2) 攻擊者A1用PKA′替換A的公鑰PKA,將PKA′發(fā)送給B,B把PKA′當(dāng)成A的公鑰。

(1)

由(1)式可知UA′=UA,然后B可以計(jì)算h″=H2(UA′ ‖IDA‖c),判斷出h″=h成立,從而接受該密文σ=(h,z,c)。當(dāng)B判斷密文的合法性后,計(jì)算VB′=e(z′,(xB+XB)(PKA′+h1′Ppub+hP)),又由于:

e(aP,PKB+XBP)=

e(aP,PKB+sH1(IDB)P)=

(2)

由(2)式可以看出VB′=VA,從而B可以恢復(fù)消息m=c?H3(VB)。

所以,當(dāng)攻擊者A1替換用戶的公鑰后,接收者B無法察覺,那么該方案就存在被偽造的風(fēng)險(xiǎn)。

3　方案改進(jìn)

文獻(xiàn)[12]中的方案存在公鑰替換攻擊,本文針對(duì)該方案的不足,提出了一個(gè)改進(jìn)方案,使得改進(jìn)的方案能夠抵抗公鑰替換攻擊。在改進(jìn)的方案中,新增了一個(gè)部分公鑰,即用戶的公鑰由兩部分組成,一部分是由用戶自己生成,另一部分由KGC生成。

3.1系統(tǒng)參數(shù)選取階段

3.2密鑰生成階段

3.3簽密階段

3.4解密驗(yàn)證階段

SB收到簽密數(shù)據(jù)σ=(T,h,z,c)后執(zhí)行以下操作:

(1)SB計(jì)算h1′=H1(IDA,RA,PKA),U*=e(z,PKA+h1′Ppub+RA+hP),h′=H2(IDA‖IDB‖U*‖T‖c)。

(2)SB驗(yàn)證h′=h是否成立,若成立,則接受簽密數(shù)據(jù)σ=(T,h,z,c);否則拒絕。

(3) 簽密驗(yàn)證者SB驗(yàn)證密文的合法性之后,計(jì)算VB=e(z,(xB+XB)(PKA+h1′Ppub+hP+RA)),恢復(fù)消息m′=c?H3(VB)。

4　安全與效率分析

4.1方案正確性

(1) 簽密數(shù)據(jù)的有效性。

(3)

由(3)式可知，h=H2(IDA‖IDB‖U‖T‖c)=H2(IDA‖IDB‖U*‖T‖c)=h′成立,即該簽密數(shù)據(jù)有效。

(2) 恢復(fù)消息,驗(yàn)證消息的正確性。

(4)

由(4)式可知,m′=c?H3(VB)=c?H3(VA)=m,即消息是正確的。

4.2隨機(jī)預(yù)言機(jī)下可證安全性

3.1 作者通過對(duì)廣州華南理工東湖自然水體的篩選，共得到6株綠藻。6株綠藻通過光學(xué)顯微鏡觀察及基因檢測(cè)得知它們分別為3株小球藻和3株?yáng)旁濉Ｅ囵B(yǎng)得知該6株藻種均能在BG11培養(yǎng)基中較好生長(zhǎng)。

方案存在2個(gè)參與者,分別為簽密發(fā)送者和接收者,簽密方案主要是由系統(tǒng)參數(shù)選取階段、密鑰生成階段、簽密階段及解簽密階段構(gòu)成。對(duì)于無證書簽密方案一般存在以下兩類攻擊者。

(1) 類型1。攻擊者A1無法獲得系統(tǒng)的主密鑰,但是可以替換任意用戶的長(zhǎng)期公鑰。

(2) 類型2。攻擊者A2不能替換用戶的公鑰,但可以獲得系統(tǒng)的主密鑰。

定理1(類型1攻擊下的機(jī)密性)在隨機(jī)預(yù)言機(jī)模型和判斷DBDH問題困難性假設(shè)下,對(duì)于類型1的攻擊者A1，改進(jìn)的方案在適應(yīng)性選擇消息和選擇身份攻擊下具有機(jī)密性。

證明假設(shè)算法Q能夠解決DBDH問題,即輸入(P,uP,vP,wP)和g,判斷e(aP,P)uvw=g是否成立。以算法Q模擬挑戰(zhàn)者,與攻擊者A1進(jìn)行交互游戲。假設(shè)A1在PPT內(nèi)可向挑戰(zhàn)者Q進(jìn)行多項(xiàng)式有限次H1詢問、H2詢問、H3詢問,部分私鑰提取詢問,部分公鑰提取詢問,長(zhǎng)期密鑰提取詢問,公鑰替換詢問,簽密詢問,解密詢問;列表LH1、LH2、LH3、LBS、LBG、LCM、LTH、LQM、LJM用于記錄每次詢問的情況。方案安全性的證明過程參考文獻(xiàn)[14]。

系統(tǒng)參數(shù)設(shè)置如下:挑戰(zhàn)者Q生成系統(tǒng)參數(shù)param={G1,G2,q,P,Ppub,H1,H2,H3,e}并將系統(tǒng)參數(shù)發(fā)送給攻擊者A1;假設(shè)系統(tǒng)主公鑰Ppub=uP，u(未知)為系統(tǒng)主密鑰;目標(biāo)用戶ID*=IDk。

(2)H2詢問。當(dāng)挑戰(zhàn)者Q收到攻擊者A1關(guān)于(IDi,Ui,Ti,c)的H2詢問,Q首先查詢列表LH2,如果(IDi,Ui,Ti,c,hi)在列表LH2中,則Q將hi返回給A1;否則,Q隨機(jī)選擇hi,將hi作為回答返回給A1,并且將(IDi,Ui,Ti,c,hi)添加到列表LH2中。

(5) 部分公鑰提取詢問。當(dāng)Q收到A1關(guān)于IDi的部分公鑰詢問,Q首先查詢列表LBG,如果(IDi,Ri)在列表LBG中,則Q將Ri返回給A1;否則, Q隨機(jī)選擇ri,計(jì)算Ri=riP,將Ri發(fā)送給A1,同時(shí)把(IDi,Ri)記錄到列表LBG中。

通過以上的分析可知,A1經(jīng)過多項(xiàng)式有限次詢問后,Q在PPT內(nèi),解決了DBDH問題,這與DBDH問題的困難性矛盾,所以在隨機(jī)預(yù)言機(jī)模型和判定DBDH問題困難性的假設(shè)下,該方案的密文具有機(jī)密性。

定理2(類型1攻擊下的不可偽造性)在隨機(jī)預(yù)言機(jī)模型和DLP困難性假設(shè)下,對(duì)于類型1的攻擊者A,改進(jìn)的方案對(duì)適應(yīng)性選擇消息和選擇身份攻擊下是存在性不可偽造的。

證明算法Q能解決DLP,即輸入y=uP,輸出u。

假設(shè)過程和系統(tǒng)參數(shù)設(shè)置與定理1相同。同樣,詢問的具體過程也與定理1相同。

即z=z*。

通過計(jì)算可得:

由上述過程可知,A1通過向Q進(jìn)行多項(xiàng)式有限次詢問后,Q在PPT內(nèi),解決了DLP,但是這與DLP的困難性矛盾,所以在隨機(jī)預(yù)言機(jī)模型和DLP困難性的假設(shè)下,該方案是存在性不可偽造的。

定理3(類型2攻擊下的機(jī)密性)在隨機(jī)預(yù)言機(jī)模型和判斷DBDH問題困難性假設(shè)下,對(duì)于類型2的攻擊者A2,改進(jìn)的方案對(duì)適應(yīng)性選擇消息和選擇身份攻擊下具有機(jī)密性。

證明假設(shè)算法Q能解決DBDH問題,即輸入uP、vP,計(jì)算出uvP。以算法Q模擬挑戰(zhàn)者,與攻擊者A2進(jìn)行交互游戲。假設(shè)攻擊者A2在多項(xiàng)式時(shí)間內(nèi)可向Q進(jìn)行多項(xiàng)式有限次H1詢問、H2詢問、H3詢問,部分密鑰提取詢問,用戶長(zhǎng)期私鑰提取詢問,公鑰提取詢問,簽密詢問,解密詢問;列表LH1、LH2、LH3、LBM、LSK、LPK、LQM、LJM用于記錄每次詢問的情況。

系統(tǒng)參數(shù)設(shè)置:挑戰(zhàn)者Q,生成系統(tǒng)參數(shù)param={G1,G2,q,P,Ppub,H1,H2,H3,e}，并將系統(tǒng)參數(shù)發(fā)送給攻擊者A2;假設(shè)用戶的長(zhǎng)期公鑰PKk=uP,以u(píng)來模擬用戶的長(zhǎng)期私鑰,且在詢問過程中不能詢問目標(biāo)用戶的私鑰;目標(biāo)用戶ID*=IDk,0

(1)H1、H2和H3詢問過程與定理1相同。

步驟1α=1。

步驟3驗(yàn)證hi′=hi是否成立,若成立,則繼續(xù);否則執(zhí)行步驟5。

步驟4查詢列表LH3,獲得(Vα,h3α),計(jì)算mα=h3α?c。

步驟5α=α+1,跳到步驟2,最后Q將輸出的mα發(fā)送給A2。

e(avP,uxiP)e(aP,XiP)=

e(P,xiP)auve(aP,XiP)。

這個(gè)結(jié)果可作為DBDH問題的回答并記錄在列表LH3中,從而解決了DBDH問題。

由上述分析可知,Q在PPT內(nèi),解決了DBDH問題,這與DBDH問題的困難性矛盾,所以,在隨機(jī)預(yù)言機(jī)模型和DBDHP困難性的假設(shè)下,簽密數(shù)據(jù)具有機(jī)密性。

定理4(類型2攻擊下的不可偽造性)在隨機(jī)預(yù)言機(jī)模型和判斷DBDH問題困難性假設(shè)下,對(duì)于類型2的攻擊者A2,改進(jìn)的方案對(duì)適應(yīng)性選擇消息和選擇身份攻擊下是存在性不可偽造的。

證明算法Q能解決DLP,即輸入y=uP,輸出u(u為簽密私鑰,在改進(jìn)的方案中為用戶私鑰和部分私鑰的和)假設(shè)過程和系統(tǒng)參數(shù)設(shè)置與定理3相同。同樣,詢問的具體過程也與定理3相同。

即z=z*。

通過計(jì)算可得:

由上述過程可知,A2通過向Q進(jìn)行多項(xiàng)式有限次詢問后,Q在PPT內(nèi),解決了DLP,但是這與DLP的困難性矛盾,所以在隨機(jī)預(yù)言機(jī)模型和DLP困難性的假設(shè)下,該方案是存在性不可偽造的。

5　結(jié)　論

本文在文獻(xiàn)[12]方案的基礎(chǔ)上,提出了一種改進(jìn)的方案,克服了原有方案存在的不足。改進(jìn)方案能夠抵抗公鑰替換攻擊,并在隨機(jī)預(yù)言機(jī)模型和困難性問題的假設(shè)下,針對(duì)2種類型的攻擊者給出了改進(jìn)方案的機(jī)密性和不可偽造性的具體證明過程。

[1]AL-RIYAMI S,PATERSON K.Certificateless public key cryptography[M]//Advances in Cryptology:ASIACRYPT 2003.Berlin: Springer-Verlag,2003:452-473.

[2]ZHENG Yuliang.Digital signcryption or how to achieve cost (signature & encryption)?cost(signature)+cost(encryption)[M].Advances in Cryptology:CRYPTO’97. Berlin:Springer-Verlag,1997:165-179.

[3]BAO F,DENG R H.A signcryption scheme with signature directly verifiable by public key[M].Public Key Cryptography.Berlin:Springer-Verlay,1998:55-59.

[4]SHIN J B,LEE K,SHIM K.New DSA-verifiable signcryption schemes[M]//Information Security and Cryptology:ICISC 2002.Berlin:Springer-Verlag, 2003:35-47.

[5]MALONE-LEE J.Identity-based signcryption[C/OL].(2013-02-16).htpps//www.research gate.net/publication/2534202_Identity_Based_Signcryption.

[6]LIBERT B, QUISQUATER J J. Efficient signcryption with key privacy from gap Diflfie-Hellman groups[M]//Public Key Cryptography:PKC 2004,Berlin:Springer-Verlag,2004:187-200.

[7]CHOW S M,YIU S M, HUI L C K,et al. Efficient forward and provably secure ID-based signcryption scheme with public verifiability and public ciphertext authenticity[M]//Information Security and Cryptology:ICISC 2003, Berlin: Springer-Verlag,2004:352-369.

[8]BARBOSA M,FARSHIM P.Certificateless signcryption[C]//Proc of the ACM Symp on Information, Computer and Communications Security(ASIACCS 2008), 2008:369-372.

[9]ARANHA D, CASTRO R, LOPEZ J, et al. Efficient certificateless signcryption[C/OL].[2011-10-17].http://sbseg2008.inf.ufrgs.br/proceedings/data/pdf/st03-01-resumo.pdf.

[10]SHARMILA DEVA SELVI S,SREE VIVEK S, PANDU RANGAN C.Cryptanalysis of certificateless signcryption schemes and an efficient construction without pairing[M]//Information Security and Cryptology.Berlin:Springer-Verlag,2011:75-92.

[11]LIU Z henhua,HU Yupu, ZHANG Xiangsong,et al.Certificateless signcryption scheme in the standard model[J].Information Sciences,2010,180(3):452-464.

[12]李會(huì)格,張建中.一種新的無證書簽密方案[J].計(jì)算機(jī)工程與應(yīng)用,2014,50(5):86-89.

[13]何德彪.無證書簽密機(jī)制的安全性分析[J].軟件學(xué)報(bào)，2013,24(3):618-622.

[14]湯鵬志，陳仁群，張慶蘭.對(duì)一類基于身份簽密方案的分析及改進(jìn)[J].合肥工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版)，2014，37(8)：938-943.

(責(zé)任編輯張镅)

An improved certificateless signcryption scheme based on bilinear pairing

TANG Pengzhi1,2,ZHANG Qinglan1,2,YANG Junfang1,2

(1.School of Science, East China Jiaotong University, Nanchang 330013, China; 2.SEC Institute, East China Jiaotong University, Nanchang 330013, China)

The security of a new certificateless signcryption scheme is analyzed, and it is found that there exists a defect in the scheme which is the replacement of user's public key. In view of this defect, an improved scheme is proposed. It is proved that the improved scheme is confidential and existentially unforgeable under the discrete logarithm problem(DLP) and decisional bilinear Diffie-Hellman(DBDH) assumptions in the random oracle model.

certificatelessness; signcryption; bilinear mapping; public key substitution; random oracle model

2015-02-02；

2015-06-09

國(guó)家自然科學(xué)基金資助項(xiàng)目 (61240025;11061014);江西省高?？萍悸涞赜?jì)劃資助項(xiàng)目(KJLD12067);江西省教育廳科研資助項(xiàng)目(GJJ13339)和華東交通大學(xué)校立科研基金資助項(xiàng)目(11JC04)

湯鵬志(1961-),男,江西九江人,華東交通大學(xué)教授,碩士生導(dǎo)師.

10.3969/j.issn.1003-5060.2016.07.011

TP309

A

1003-5060(2016)07-0917-07