無(wú)對(duì)運(yùn)算的無(wú)證書簽名方案的攻擊與改進(jìn)

◆李祖猛 王 菁

無(wú)對(duì)運(yùn)算的無(wú)證書簽名方案的攻擊與改進(jìn)

◆李祖猛1王 菁2

（1.廣東科學(xué)技術(shù)職業(yè)學(xué)院 廣東 519090；2.廣州市信息工程職業(yè)學(xué)校 廣東 510000

無(wú)證書密碼體制解決了基于身份公鑰密碼體制中的密鑰托管問(wèn)題和基于傳統(tǒng)公鑰證書密碼體制中的證書管理問(wèn)題，基于此無(wú)證書密碼體制已成為密碼學(xué)研究的熱點(diǎn)之一。最近，樊愛苑等人提出了一個(gè)無(wú)雙線性對(duì)運(yùn)算的無(wú)證書簽名方案，通過(guò)對(duì)其進(jìn)行安全性分析，發(fā)現(xiàn)該方案不能抵抗A-I類偽造攻擊，并給出了一種具體的攻擊方法。針對(duì)該方案的安全缺陷，提出了改進(jìn)方案，并對(duì)改進(jìn)方案進(jìn)行了正確性、安全性以及效率分析，分析結(jié)論表明改進(jìn)方案在保持原方案高效性的同時(shí)，能抵抗A-I類和A-II類偽造攻擊，提高了安全性。

無(wú)證書簽名；雙線性對(duì)；橢圓曲線；離散對(duì)數(shù)；計(jì)算Diffie-Hellman問(wèn)題

基于證書的公鑰密碼系統(tǒng)中，用戶的公鑰采用證書中心CA頒發(fā)的證書進(jìn)行認(rèn)證，但因此導(dǎo)致CA維護(hù)證書的產(chǎn)生、更新、撤銷等過(guò)程復(fù)雜且代價(jià)很高。為了簡(jiǎn)化證書的管理，1984年Shamir[1]首次提出了基于身份的密碼系統(tǒng)，該系統(tǒng)中不再使用證書認(rèn)證用戶的公鑰，因?yàn)橛脩舻墓€由用戶唯一身份的公開信息（如身份證號(hào)號(hào)碼、email地址等）生成，用戶的私鑰由可信中心PKG（private key generation center）利用系統(tǒng)唯一的主密鑰生成，但是該系統(tǒng)中此種用戶私鑰的產(chǎn)生方式，引入了新的問(wèn)題——密鑰托管問(wèn)題，因?yàn)镻KG可以獲取任何用戶的私鑰，存在一定的安全隱患。為了解決密鑰托管問(wèn)題，2003年Al-Riyami和Paterson[2]于提出了無(wú)證書密碼系統(tǒng)的概念。在無(wú)證書密碼系統(tǒng)中，密鑰生成中心KGC（key generation center）和用戶共同完成用戶的私鑰生成，即用戶私鑰的一部分由KGC產(chǎn)生，另一部分由用戶自己產(chǎn)生。這種產(chǎn)生私鑰的方式使得KGC不能獲知用戶的完整私鑰，因此就解決了基于身份的密碼系統(tǒng)中的密鑰托管問(wèn)題。

無(wú)證書簽名是無(wú)證書密碼系統(tǒng)中的典型應(yīng)用之一。現(xiàn)代網(wǎng)絡(luò)通信中，數(shù)字簽名為通信提供了不可否認(rèn)性、數(shù)據(jù)完整性、發(fā)送者的身份認(rèn)證等非常重要的安全服務(wù)。無(wú)證書簽名方案相較于傳統(tǒng)簽名方案具有如下兩個(gè)方面的優(yōu)勢(shì)：（1）驗(yàn)證簽名過(guò)程中無(wú)須驗(yàn)證簽名者公鑰的真實(shí)性；（2）不存在密鑰托管問(wèn)題。首個(gè)無(wú)證書簽名方案由Al-Riyami和Paterson在文獻(xiàn)[2]中提出，但并未給出無(wú)證書簽名方案的安全模型，2005年Huang等人[3]指出了其不能抵抗A-I類偽造攻擊，提出了改進(jìn)方案并定義了一個(gè)無(wú)證書簽名的安全模型，但該安全模型并不能完全覆蓋A-I類偽造攻擊，Yap等人[4]提出的方案就是一個(gè)典型例子，文獻(xiàn)[4]的方案在Huang等人給出的安全模型中被證明是安全的，而實(shí)際上隨后的文獻(xiàn)[5，6]對(duì)其提出了偽造攻擊。此后，無(wú)證書簽名機(jī)制受到了廣泛的研究，很多無(wú)證書簽名方案被相繼提出[7-10]，但上述方案都是基于雙線性對(duì)運(yùn)算的，其復(fù)雜度較高。2012年，Gong等人[11]基于橢圓曲線提出了不使用雙線性對(duì)的無(wú)證書簽名方案，但隨后被Yeh等人[12]指出其方案不能抵抗A-I類攻擊。同年，王圣寶等人[13]基于離散對(duì)數(shù)困難問(wèn)題，提出了一個(gè)不使用雙線性對(duì)的無(wú)證書簽名方案，簽名效率得到了很大提高。但王怡等人[14]指出其不能抵抗積極不誠(chéng)實(shí)的KGC攻擊，并提出了改進(jìn)方案，改進(jìn)方案保持了原方案的高效性，具有更高的安全性，同時(shí)消除了安全通道，降低了通信復(fù)雜度。樊愛苑等人[15]對(duì)文獻(xiàn)[14]進(jìn)行了安全分析，提出不能抵抗偽造攻擊，并給出了具體的攻擊方法，提出了改進(jìn)方案（FSZ方案）并在隨機(jī)預(yù)言模型中給出了安全證明，改進(jìn)方案未使用逆運(yùn)算，提升了簽名效率。2014年，Kim等[16]基于格困難問(wèn)題提出了一個(gè)對(duì)于惡意但被動(dòng)的KGC可證安全的無(wú)證書簽名方案。

本文對(duì)文獻(xiàn)[15]中的方案進(jìn)行安全分析后，指出其不能抵抗A-I類偽造攻擊，并給出了具體的攻擊方法。然后，提出了改進(jìn)方案，并對(duì)改進(jìn)方案的正確性、安全性、效率進(jìn)行了分析，分析結(jié)論表明，本文改進(jìn)方案在保持原有效率的同時(shí)，提高了安全性。

本文的組織結(jié)構(gòu)如下：在第1節(jié)中，首先介紹一些預(yù)備知識(shí)；在第2節(jié)中，簡(jiǎn)要回顧文獻(xiàn)[15]中的無(wú)證書簽名方案；在第3節(jié)中，給出一種有效的A-I類偽造攻擊方法；第4節(jié)中提出一種改進(jìn)方案；第5節(jié)對(duì)改進(jìn)方案的正確性、安全性、效率進(jìn)行了分析。最后總結(jié)全文。

1 預(yù)備知識(shí)

1.1 困難問(wèn)題與安全假設(shè)

1.2 無(wú)證書簽名方案形式化定義及安全模型

文獻(xiàn)[10，13]詳細(xì)描述了無(wú)證書簽名方案的形式化定義和對(duì)應(yīng)的安全模型，在該安全模型中，攻擊者被劃分為兩類：

A-I類：該類攻擊者無(wú)法獲取系統(tǒng)主密鑰，但可以任意替換合法用戶的公鑰。

A-II類：該類攻擊者可以獲取系統(tǒng)主密鑰，但不可以替換合法用戶的公鑰。

無(wú)證書簽名方案的不可偽造性的定義詳見文獻(xiàn)[10-13]，本文在此不再贅述。

2 FSZ無(wú)證書簽名

（1）系統(tǒng)參數(shù)建立算法

（2）用戶秘密值生成算法

（3）部分密鑰生成算法

（4）部分密鑰驗(yàn)證算法

（5）用戶密鑰生成算法：

（6）簽名算法

（7）驗(yàn)證算法

3 FSZ無(wú)證書簽名方案的偽造攻擊

文獻(xiàn)[15]指出，在隨機(jī)預(yù)言模型下，基于ECDLP和ECCDH安全假設(shè)證明了所提方案的安全性，而實(shí)際該方案并不能抵抗A-I類攻擊者的偽造攻擊，下面將給出A-I類攻擊者的具體偽造攻擊方法。

4 改進(jìn)方案

本文對(duì)FSZ無(wú)證書方案[15]進(jìn)行了改進(jìn)。改進(jìn)方案的系統(tǒng)參數(shù)建立算法、用戶秘密值生成算法、部分密鑰生成算法、部分密鑰驗(yàn)證算法、用戶密鑰生成算法與FSZ無(wú)證書方案相同。本文方案對(duì)其中的簽名算法和驗(yàn)證算法進(jìn)行了改進(jìn)：

（1）簽名算法

（2）驗(yàn)證算法

5 改進(jìn)方案的分析

5.1 安全性分析

（1）正確性

改進(jìn)方案簽名有效性證明：

（2）不可偽造性

本文改進(jìn)方案在適應(yīng)性選擇消息攻擊下是不可偽造的。下面分別針對(duì)A-I類和A-II類偽造攻擊給出安全分析。

5.2 效率分析

6 結(jié)束語(yǔ)

本文對(duì)文獻(xiàn)[15]中提出的無(wú)對(duì)運(yùn)算的無(wú)證書簽名方案進(jìn)行了分析，指出其不能抵抗A-I類攻擊者的偽造攻擊，并給出了一種具體的攻擊方法。隨后本文針對(duì)原方案的安全缺陷，提出了一個(gè)改進(jìn)的無(wú)對(duì)運(yùn)算的無(wú)證書簽名方案，并對(duì)改進(jìn)方案進(jìn)行了正確性、安全性、效率方面的分析，分析結(jié)論表明改進(jìn)方案在保持原有效率的同時(shí)，提高安全性。

[1]Shamir A. Identity-based cryptosystems and signature schemes[C]. Blakely G R，Chaum D. Cryptology-CRYPTO 1984，LNCS，1984，196：47-53.

[2]Alriyami S S，Paterson K G. Certificateless public key cryptography[J]. Asiacrypt，2003，2894（2）：452-473.

[3]Huang X，Susilo W，Mu Y，et al. On the security of certificateless signature schemes from Asiacrypt 2003[C]. International Conference on Cryptology & Network Security. Springer Berlin Heidelberg，2005.

[4]Yap W S，Heng S H，Goi B M. An efficient certificateless signature scheme[C]. International Conference on Embedded and Ubiquitous Computing. Springer，Berlin，Heidelberg，2006.

[5]Je Hong Park. An attack on the certificateless signature scheme from EUC Workshops 2006[EB/OL].http://eprint.iacr.org/2006/442.

[6]Zhang Z. Key replacement attack on a certificateless signature scheme[EB/OL]. http://eprint.iacr.org/2006/453.

[7]Zhang Z，Wong D S，Xu J，et al. Certificateless public-key signature:security model and efficient construction[C].International Conference on Applied Cryptography and Network Security. Springer，Berlin，Heidelberg，2006.

[8]Choi K Y，Park J H，Hwang J Y，et al. Efficient certificateless signature schemes[C].International Conference onApplied Cryptography & Network Security.Springer-Verlag，2007.

[9]Duan S. Certificateless undeniable signature scheme[J].Information Sciences，2008，178（3）：742-755.

[10]Yuan Y，Li D，Tian L，et al. Certificateless signature scheme without random oracles[C]. Advances in Information Security & Assurance，Seoul：ISA 2009，2009：31-40.

[11]Gong P ，Li P . Further improvement of a certificateless signature scheme without pairing[J]. International Journal of Communication Systems，2014，27（10）：2083-2091.

[12]Yeh K H，Tsai K Y，Kuo R Z，et al. Robust certificateless signature scheme without bilinear pairings[J]. Multimedia Tools & Applications，2013，74（16）：1-4.

[13]王圣寶，劉文浩，謝琪.無(wú)雙線性配對(duì)的無(wú)證書簽名方案[J].通信學(xué)報(bào)，2012，33（4）：93-98.

[14]王怡，杜偉章.無(wú)雙線性對(duì)的無(wú)證書簽名方案的分析及改進(jìn)[J].計(jì)算機(jī)應(yīng)用，2013，33（8）：2250-2252.

[15]樊愛宛，申遠(yuǎn)，趙偉艇.無(wú)證書簽名方案的安全性分析與改進(jìn)[J].計(jì)算機(jī)應(yīng)用，2014，34（8）：2342-2344，2349.

[16]Kim K S,Jeong I R. A new certificateless signature scheme under enhanced security models[J]. Security and Communication Networks，2015，8（5）：801-810.