论文部分内容阅读
摘 要:将强盲性的概念引入失败-终止数字签名方案,构造了一个基于失败-终止数字签名的强盲签名方案,拓宽此类签名的应用范围。方案安全性基于离散对数难解问题。
关键词:强盲性;失败-终止数字签名;不可伪造性;离散对数难解
1引言
失败终止数字签名又称为故障停止式簽名,是由Birgit Pfitzmann和Michael Waidner[1]于1991年提出的。这是一种经过强化安全的数字签名,用来防范拥有强大计算机资源的攻击者。使用失败—终止数字签名,签名者不能对自己的签名抵赖,同时,即使攻击者分析出私钥,也难以伪造签名者的签名。
失败-终止数字签名的基本原理是:对每个可能的公钥,有许多可能的私钥和它一起工作。这些私钥中每一个都产生许多不同的可能的签名,而签名者只有一个私钥,只能计算出一个签名。因此,即使攻击者能够恢复出一个有效的私钥,但这一私钥恰好是签名者持有的私钥的概率是非常小的,可以忽略不计。不同的私钥产生的签名是不相同的,因此签名者可以以高概率鉴别出伪造的签名。
下面我们给出由Van Heyst和Pederson[2]构造的失败—终止数字签名方案,它是一个一次方案(给定一个密钥,仅有一个签名信息能被签名)。其安全性基于求解离散对数的困难性。
2失败—终止数字签名方案
方案描述如下:
2.1 体制参数
产生参数需要签名者和可信的第三方的参与。第三方产生公开的全局参数,签名者自己产生签名要用的私钥和公钥。
第三方选取:
都是大素数,且,要求在中求解离散对数是困难的;
,的阶数为;
选取随机数,,作为秘密数,第三方对所有人保密(包括签名者)。
;
签名者选取:
签名者选取四个随机数,且均属于;作为签名者的私钥;
签名者的公钥为,其中,。
以上,是公开的并且它们将视为固定的。
2.2签名过程
对给定的消息m签名,,计算:
y1=(a1+mb1)modq,y2=(a2+mb2)modq,
对于消息m的签名结果为。
2.3 验证过程
接收者收到消息m和签名之后,验证过程如下:
(1)计算:,;
(2)比较,,相等表示签名有效,否则签名无效。
下面提出作者根据上面描述的失败—终止数字签名体制构造的一个强盲签名方案。
3基于失败-终止数字签名的强盲签名方案
3.1方案描述如下
3.1.1体制参数
参数选取同失败—终止数字签名体制的参数选取,我们在这不再阐述。
3.1.2 签名过程
(1)签名者A选取一个随机数,计算:
,
然后把发送给求签名者B;
(2)求签名者B收到后,选择随机数,对给定的待签名消息,计算:,并把发送给签名者A进行签名;
(3)签名者A收到后,对其进行签名,计算:
,,
签名者对的签名为,并把发送给求签名者B。
3.1.3脱盲过程
求签名者B收到关于的签名之后,进行脱盲过程,计算:
,,
即为原消息m的签名。
3.1.4 验证过程
求签名者B通过脱盲得到消息m的签名后,对其进行验证:
(1)计算:,;
(2)比较,,相等表示签名有效,否则签名无效拒绝接受。
3.2方案的正确性,安全性、盲性分析及其性能分析:
3.2.1方案的正确性分析
因为:=
=
=
=
=
=
=
=
其中y?1=a1r-c+mb1modq,y?2=a2r-c+mb2modq;
所以,=成立,方案是正确的。
3.2.2方案的安全性分析
3.2.2.1体制安全性分析
这个新的方案是基于Van Heyst和Pederson所提的失败—终止数字签名方案而设计的,所以其体制安全性是基于求解离散对数的困难性。
3.2.2.2不可伪造性分析
首先让我们确定一些关于该方案的密钥相关事实。对于两个密钥和是等价的:当且仅当和。由r的定义知道,各等价类中恰有个密钥。以下阐述几个引理[3]:
引理1:假设和是等价密钥且假设,那么;
引理2:假设是一个密钥且,那么这里刚好有个密钥与等价,并滿足;
引理3:假设是一个密钥,且,这里,那么这里至多存在一个与等价的密钥使和同时成立。
前面两个引理说明方案的安全性,即同一等价类中的密钥签署相同的消息将得到相同的签名。而引理3说明:以同一等价类中的密钥签署不同的消息将得到不同的签名。
我们现在看一下失败—终止数字签名,以上我们讲的是,给定消息m的签名s,攻击者不能计算出不同的消息的签名,但攻击者可以计算出一个伪造的签名,并且仍能通过验证,也就是说,是攻击者伪造的关于的有效的签名,即使是这样签名者能以高概率产生一个“伪造的证明”。该伪造的证明是一个值,仅有可信第三方才知道。
综上,我们说方案是不可伪造的,即使有伪造的签名,签名方也可以以高概率产生“伪造的证明”。
3.2.3方案的强盲性分析 3.2.3.1求签名者B对消息m进行盲变换后得到盲消息,签名者A虽然知道,但并不知道求签名者随机选取的,所以说,原消息的内容对签名者A来说是不可见的,满足强盲签名的条件。
3.2.3.2待求签名者B公布m及它的签名,签名者A利用他保存的, 及其他相关数据,求解。由及和求解属于有限域上离散对数难解问题,求解是非常困难的。即签名者A利用和得不到它们之间的联系,无法对求签名者B进行追踪,满足强盲签名的条件。
综上,该方案具有强盲性。可以实现无条件的匿名性,这个方案在电子商务中有很广泛的实际应用价值。
3.2.4密鑰安全性分析
我们知道,这个方案是一次一密的,即给定一个密钥只能签署一个消息。如果用同一个密钥签署不同的两个消息,密钥就会被泄露。这是因为:假设签名者用密钥来签署不同的消息,得到两个不同的签名:的签名为,的签名为,所以有:
(1式),(2式),
(3式),(4式)
由于求签名者知道,所以由(1)(3)式可以求得,由(2)(4)式可以求得,这样求签名者就可以伪造签名者来签名,所以该方案的一次一密也保证了签名的不可伪造性,增强了方案的安全性。
4结语
失败终止数字签名是一种经过强化安全的数字签名,用来防范拥有强大计算机资源的攻击者。文中描述的是一个一次方案,即给定的密钥只能签署一个消息,但是,也存在求签名者不想让签名者知道自己所要签名的真实消息内容,这时候就需要盲性,而且是强盲性,所以作者根据这一需求提出自己构造的基于失败-终止数字签名的强盲签名方案,拓宽此类签名的应用范围。
参考文献:
[1]B.Pfitzmann and M.Waider,“Formal Aspects of fail—stop Signature,”Fakultat fur Informatik,Univesity Karlsruhe,Report 22/90,1990
[2]E. Heyst and T.p.Pederson,“How to Make Fail—Stop Signatures,”Advance in Cryptology—EUROCRYPT’92 Proceedings,Springer—Verlag,1993,pp.366—377
[3][美]D.R.斯延森著.密碼学——理论和实践[M].张文政译.成都:国防科学技术保密通信重点实验室,1997
作者简介:
付晓鹃(1983—),女,汉族,硕士,讲师,主要研究方向为代数组合论与密码学、应用数学等;
徐敏(1978—)女,汉族,硕士,副教授,主要研究方向为代数组合论与密码学、应用数学等。
基金项目:国家自然科学基金(61672199,61100100); 浙江省自然科学基金(Y1110232); 杭州电子科技大学科研启动基金(KYS055609040).
(作者单位:青海交通职业技术学院基础部)
关键词:强盲性;失败-终止数字签名;不可伪造性;离散对数难解
1引言
失败终止数字签名又称为故障停止式簽名,是由Birgit Pfitzmann和Michael Waidner[1]于1991年提出的。这是一种经过强化安全的数字签名,用来防范拥有强大计算机资源的攻击者。使用失败—终止数字签名,签名者不能对自己的签名抵赖,同时,即使攻击者分析出私钥,也难以伪造签名者的签名。
失败-终止数字签名的基本原理是:对每个可能的公钥,有许多可能的私钥和它一起工作。这些私钥中每一个都产生许多不同的可能的签名,而签名者只有一个私钥,只能计算出一个签名。因此,即使攻击者能够恢复出一个有效的私钥,但这一私钥恰好是签名者持有的私钥的概率是非常小的,可以忽略不计。不同的私钥产生的签名是不相同的,因此签名者可以以高概率鉴别出伪造的签名。
下面我们给出由Van Heyst和Pederson[2]构造的失败—终止数字签名方案,它是一个一次方案(给定一个密钥,仅有一个签名信息能被签名)。其安全性基于求解离散对数的困难性。
2失败—终止数字签名方案
方案描述如下:
2.1 体制参数
产生参数需要签名者和可信的第三方的参与。第三方产生公开的全局参数,签名者自己产生签名要用的私钥和公钥。
第三方选取:
都是大素数,且,要求在中求解离散对数是困难的;
,的阶数为;
选取随机数,,作为秘密数,第三方对所有人保密(包括签名者)。
;
签名者选取:
签名者选取四个随机数,且均属于;作为签名者的私钥;
签名者的公钥为,其中,。
以上,是公开的并且它们将视为固定的。
2.2签名过程
对给定的消息m签名,,计算:
y1=(a1+mb1)modq,y2=(a2+mb2)modq,
对于消息m的签名结果为。
2.3 验证过程
接收者收到消息m和签名之后,验证过程如下:
(1)计算:,;
(2)比较,,相等表示签名有效,否则签名无效。
下面提出作者根据上面描述的失败—终止数字签名体制构造的一个强盲签名方案。
3基于失败-终止数字签名的强盲签名方案
3.1方案描述如下
3.1.1体制参数
参数选取同失败—终止数字签名体制的参数选取,我们在这不再阐述。
3.1.2 签名过程
(1)签名者A选取一个随机数,计算:
,
然后把发送给求签名者B;
(2)求签名者B收到后,选择随机数,对给定的待签名消息,计算:,并把发送给签名者A进行签名;
(3)签名者A收到后,对其进行签名,计算:
,,
签名者对的签名为,并把发送给求签名者B。
3.1.3脱盲过程
求签名者B收到关于的签名之后,进行脱盲过程,计算:
,,
即为原消息m的签名。
3.1.4 验证过程
求签名者B通过脱盲得到消息m的签名后,对其进行验证:
(1)计算:,;
(2)比较,,相等表示签名有效,否则签名无效拒绝接受。
3.2方案的正确性,安全性、盲性分析及其性能分析:
3.2.1方案的正确性分析
因为:=
=
=
=
=
=
=
=
其中y?1=a1r-c+mb1modq,y?2=a2r-c+mb2modq;
所以,=成立,方案是正确的。
3.2.2方案的安全性分析
3.2.2.1体制安全性分析
这个新的方案是基于Van Heyst和Pederson所提的失败—终止数字签名方案而设计的,所以其体制安全性是基于求解离散对数的困难性。
3.2.2.2不可伪造性分析
首先让我们确定一些关于该方案的密钥相关事实。对于两个密钥和是等价的:当且仅当和。由r的定义知道,各等价类中恰有个密钥。以下阐述几个引理[3]:
引理1:假设和是等价密钥且假设,那么;
引理2:假设是一个密钥且,那么这里刚好有个密钥与等价,并滿足;
引理3:假设是一个密钥,且,这里,那么这里至多存在一个与等价的密钥使和同时成立。
前面两个引理说明方案的安全性,即同一等价类中的密钥签署相同的消息将得到相同的签名。而引理3说明:以同一等价类中的密钥签署不同的消息将得到不同的签名。
我们现在看一下失败—终止数字签名,以上我们讲的是,给定消息m的签名s,攻击者不能计算出不同的消息的签名,但攻击者可以计算出一个伪造的签名,并且仍能通过验证,也就是说,是攻击者伪造的关于的有效的签名,即使是这样签名者能以高概率产生一个“伪造的证明”。该伪造的证明是一个值,仅有可信第三方才知道。
综上,我们说方案是不可伪造的,即使有伪造的签名,签名方也可以以高概率产生“伪造的证明”。
3.2.3方案的强盲性分析 3.2.3.1求签名者B对消息m进行盲变换后得到盲消息,签名者A虽然知道,但并不知道求签名者随机选取的,所以说,原消息的内容对签名者A来说是不可见的,满足强盲签名的条件。
3.2.3.2待求签名者B公布m及它的签名,签名者A利用他保存的, 及其他相关数据,求解。由及和求解属于有限域上离散对数难解问题,求解是非常困难的。即签名者A利用和得不到它们之间的联系,无法对求签名者B进行追踪,满足强盲签名的条件。
综上,该方案具有强盲性。可以实现无条件的匿名性,这个方案在电子商务中有很广泛的实际应用价值。
3.2.4密鑰安全性分析
我们知道,这个方案是一次一密的,即给定一个密钥只能签署一个消息。如果用同一个密钥签署不同的两个消息,密钥就会被泄露。这是因为:假设签名者用密钥来签署不同的消息,得到两个不同的签名:的签名为,的签名为,所以有:
(1式),(2式),
(3式),(4式)
由于求签名者知道,所以由(1)(3)式可以求得,由(2)(4)式可以求得,这样求签名者就可以伪造签名者来签名,所以该方案的一次一密也保证了签名的不可伪造性,增强了方案的安全性。
4结语
失败终止数字签名是一种经过强化安全的数字签名,用来防范拥有强大计算机资源的攻击者。文中描述的是一个一次方案,即给定的密钥只能签署一个消息,但是,也存在求签名者不想让签名者知道自己所要签名的真实消息内容,这时候就需要盲性,而且是强盲性,所以作者根据这一需求提出自己构造的基于失败-终止数字签名的强盲签名方案,拓宽此类签名的应用范围。
参考文献:
[1]B.Pfitzmann and M.Waider,“Formal Aspects of fail—stop Signature,”Fakultat fur Informatik,Univesity Karlsruhe,Report 22/90,1990
[2]E. Heyst and T.p.Pederson,“How to Make Fail—Stop Signatures,”Advance in Cryptology—EUROCRYPT’92 Proceedings,Springer—Verlag,1993,pp.366—377
[3][美]D.R.斯延森著.密碼学——理论和实践[M].张文政译.成都:国防科学技术保密通信重点实验室,1997
作者简介:
付晓鹃(1983—),女,汉族,硕士,讲师,主要研究方向为代数组合论与密码学、应用数学等;
徐敏(1978—)女,汉族,硕士,副教授,主要研究方向为代数组合论与密码学、应用数学等。
基金项目:国家自然科学基金(61672199,61100100); 浙江省自然科学基金(Y1110232); 杭州电子科技大学科研启动基金(KYS055609040).
(作者单位:青海交通职业技术学院基础部)