基于DSA变形的有向门限群签名方案

谢 冬,李佳佳,沈忠华

(杭州师范大学理学院,浙江 杭州 310036)

基于DSA变形的有向门限群签名方案

谢 冬,李佳佳,沈忠华

(杭州师范大学理学院,浙江 杭州 310036)

为了保护接收者的隐私，有向签名方案要求签名的验证必须得到接收者或签名者的合作.基于门限群签名秘密共享的思想以及离散对数的难解性，设计了一种新的有向门限群签名方案.分析表明，该方案具有安全性，与其他已存在的有向门限群签名方案相比，还具有一定的稳定性.

门限群签名；有向门限群签名；秘密共享；离散对数

0 引 言

数字签名技术在当今社会中具有非常重要的应用.门限签名是一类重要的数字签名，一个(t,n)门限签名方案是指n个成员组成的群中，群中任何不少于t个成员合作就能产生有效的群签名，但任何少于t个成员合作都无法产生有效的群签名.此外，签名的接收者可以利用公开的群公钥来验证群签名的有效性.1991年Desmedt与Frankel首次提出了基于RSA的(t,n)门限群签名方案[1]，t个或者多于t个成员能代表整个群为消息生成有效的群签名.从此，各类门限群签名方案相继被提出[2-3].然而，现有的大多数门限群签名方案或多或少的存在一些缺点，例如当加入或者删除群成员时，需要比较复杂的操作，需改变其他成员的私钥，计算效率低.

在传统的数字签名中，任何拥有签名拷贝的人都可以利用签名者的公钥来验证签名的有效性.而在现实生活中，一些数字签名可能包含有对签名接受者敏感的信息，如汇票、税务信息、医疗记录等等，这些签名最好只能由接收者验证.为了解决这样的问题，Lim和Lee提出了有向签名的概念[4]，对于消息上的签名只有消息接收方才能验证，任何第三方需要验证此签名的有效性都必须在接收者的合作下才能完成.张等人提出了一个基于离散对数的有向签名方案[5]，并基于此有向签名方案设计了一个带有离线半可信第三方的公平交换协议.沈提出了一个基于中国剩余定理的(t,n)有向门限签名方案[6]，此方案中签名需要特定的用户参与，计算效率方面也具有一定的优势.

目前提出的许多门限签名方案均是一种理想化模型，在实际应用中存在着一些缺陷，如权利分配过于平均.事实上，无论是一个公司还是政府机关，权利分配都不是绝对平均的.在一些企业中，某些人对公司的重大决策具有一票否决权，例如独资企业的总经理或合资企业股份超过百分之五十的大股东.现有的大多数方案[6-7]均不能解决这样的问题，因为任意t个群成员就可以代表群产生一个合法的群签名.为了解决以上问题，本文基于门限群签名秘密共享的思想，提出了一种安全的有向门限群签名方案.在新方案中，安全的签名合成器参与到群签名中来，没有签名合成器的参与，群中t个或多于t个成员也无法生成有效的群签名.此外，系统还具有良好的稳定性.

1 方案的描述

本方案的实体由一个可信的份额分配中心DC(Distribution Center)和一个安全的签名合成器SC以及群全体人员集P={Q1,…,Qn}组成.为了增加系统的安全性，SC也产生一个份额签名，最终的群签名需要SC协助产生.该方案由系统初始化、群公钥及份额密钥的生成、份额签名的生成、份额签名的验证及群签名的合成和群签名的验证5部分组成.

1.1 系统初始化

DC选取两个充分大的素数p、q以及公开的单向安全的Hash函数H(·)，其中p和q满足p=2q+1.选取GF(p)中的阶为q的元素g(g>1).p、q和g为系统参数，在系统内公开.

1.2 群公钥及份额密钥的生成

1.3 份额签名的生成

若t个群成员构成集U={Q1,Q2,…,Qt}同意代表整个群对消息m进行签名，则每个群成员Qi∈U完成以下步骤产生份额签名.

2．SC收到Qi发送来的{H(xi),εi1,εi2}后，通过验证等式gεi2=εi1·gH(xi)εi1modp是否成立来判断{H(xi),εi1,εi2}的有效性.当SC验证了t个{H(xi),εi1,εi2}有效后，收集所有的H(xi)(i=1,2,…,t)并与(Di,xi0)中的Di比对，找出相对应的i及此时所对应的份额密钥xi0(以下记作x0)，以便SC协助完成群签名.

5.U中每个成员Qi计算：

(1)

Qi将{vi,ri,si}作为自己的份额签名发送给SC.

1.4 份额签名的验证及群签名的合成

SC收到群成员Qi的份额签名{vi,ri,si}后，首先计算R,W和c，然后通过验证下式是否成立来验证份额签名的有效性.SC然后计算：

(2)

若vi′=vi，则确认签名{vi,ri,si}是有效的.

当SC收集到t个份额签名后，SC首先按照式(1)计算自己的份额签名，然后将签名进行合并：

(3)

则信息m的门限群签名是{S,R,c,m}.SC将合成的群签名{S,R,c,m}发送给接收者B.

1.5 群签名的验证

B收到SC发来的签名后，首先计算u=Sycmodp和W′=uxBmodp，最后通过验证等式c=H(R,W′,m)modq是否成立来验证群签名的有效性.

如果其他第三方C需要验证此签名的有效性，都必须求得B的合作.B首先将{S,R,c,W′,m,u}发送给C，C首先验证等式c=H(R,W′,m)modq是否成立，若不成立则停止验证过程；若成立，B以交互零知识的方式[5]向C验证loguW′=loggyBmodp是否成立，若成立则证明了签名的有效性.

2 方案的证明

定理1U中每个成员使用式(1)来签名，SC应用式(2)计算vi′，当vi′=vi时，SC确认签名是有效的.

故定理得证.

定理2 若SC按照式(3)将份额签名合并，则生成的群签名能通过接收者的验证.

3 安全性分析

定理3 在该门限签名方案中，若群成员不故意公开自己的私钥，则整个过程群成员的私钥都不会泄露.

证明在份额签名产生阶段，集合U中的签名成员私钥不会泄露.若攻击者想要通过H(xi)来求出xi，这是不可行的，因为H(·)是安全的单向函数.若攻击者想要通过份额签名{vi,ri,si}来求xi，这可以归结为离散对数问题，在计算上也是不可行的.显然，群签名的产生阶段也不会泄露各个参与签名成员的私钥.故定理得证.

定理4 该门限群签名方案具有不可伪造性.

证明首先，攻击者伪造份额签名是不可行的.签名者将份额签名发送给SC，SC首先要对份额签名进行验证，只有合法的签名才能被接受.在签名等式(1)中，有3个未知的量ki、xi以及λi，而从vi、yi以及ri中求出ki、xi和λi是离散对数问题，在计算上是不可行的，所以要想确定一个有效的份额签名基本上是不可行的.其次，恶意攻击者伪造群签名也是不可行的.因为伪造的群签名必定不会通过等式c=H(R,W′,m)modq的验证.

定理5 当签名产生纠纷时，在DC的帮助下可以追查签名者的身份信息，并且参与此次签名的成员具有不可否认性.

证明份额签名发给SC后，SC首先验证签名的有效性，当t个签名成员的份额签名有效时，SC合成签名.根据份额签名的产生步骤，SC在合成群签名之前已经通过Di的比对找到相应的i.当发生签名纠纷时，SC将比对结果i秘密发送给DC，DC查看保存的数据就可知道是哪组{Qi1,Qi2,…,Qit}参与了此次签名.若签名者想要否认参与了此次签名，则SC出示签名者的{H(xi),εi1,εi2}，用来证明签名成员确实参与了此次签名.

4 可行性分析

4.1 新方案具有良好的稳定性

4.2 新方案在效率方面也存在一定的优势

从参数设置方面来看，本方案的私有参数和公有参数只各需一个，分别是xi和yi，而其他大多数门限群签名方案的参数都多于本方案，例如文献[8]中需要2个私有参数和3个共有参数，分别是((fs(xsi),fb(xsi))和(ysi,yvj,ybi).从计算效率方面来看，大多数存在的门限签名方案的构造都是基于拉格朗日插值多项式或中国剩余定理[6]的，而本方案在系统初始化时就计算出所有可能出现的签名成员集.在份额签名产生阶段，SC首先只需对数据进行比对就可产生自己的份额密钥，份额签名的产生只需一次模加、两次模乘和一次模幂运算，非常适合于具有较小计算能力的签名者.

4.3 在特定情况下，该方案具有一定的实用性

现有的大多数门限签名方案大多是一种理想情况，每个用户的权力比较平均，而没有一种具有“一票否决”性质的门限签名方案.本方案与其他门限签名方案相比最大的区别就是有效群签名的生成必须要有SC的参与.在SC是可信的前提下，这也大大地增加了系统的安全性.

5 结束语

本文基于秘密共享的思想，采用了DSA的变形，提出了一个新的有向门限群签名方案.分析表明该方案具有签名不可伪造性、身份可追查性等安全特性，同时在稳定性、效率以及实用性方面也具有一定的优势.

[1] Desmedt Y, Frankel Y. Shared generation of authenticator and signatures (Extended Abstract)[C]//J. Feigenbaum(Ed.), Advances in Cryptology-CRYPTO’91. Berlin: Springer-Verlag,1992:457-469.

[2]Wang G T, Lin C H, Chang C C. Threshold signature schemes with traceable signers in group communications[J]. Computer Communications,1998,21(8):271-276.

[3] 谢琪，于秀源.基于分组秘密共享的(t,n)门限群签名体制[J].计算机学报，2005，28(2)：209-213.

[4] Lim C H, Lee P J. Modified Maurer-Yacobi’s Scheme and Its Applications[C]//Advances in Cryptology-Auscrypt’92. Berlin: Springer-Verlag,1993:308-323.

[5] 张彰，王培春，肖国镇.基于离散对数的有向签名方案及其应用[J].西安电子科技大学学报:自然科学版，2002,29(4):510-512.

[6] 沈忠华.基于中国剩余定理的(t,n)有向门限签名方案[J].浙江大学学报：理学报，2010，37(1)：42-45.

[7] 荆继武，冯登国.一种入侵容忍的CA方案[J].软件学报，2002，13(8)：1417-1422.

[8] Hsu C L, Wu T C. Improvements of threshold signature and authenticated encryption for group communications[J]. Inform Process Lett,2002,81(1)：41-45.

ADirectedThresholdGroupSignatureSchemeBasedonDSADeformation

XIE Dong, LI Jia-jia, SHEN Zhong-hua

(College of science, Hangzhou Normal University, Hangzhou 310036, China)

In order to protect the privacy of the signature receiver, directed signature scheme demands that the signature can be verified only with the cooperation of the signature receiver or the signer. Based on the secret sharing scheme of thresshold group signature and the intractability of discrete logarithm, a new directed threshold group signature scheme was proposed. The analysis shows that this scheme is secure. Comparing to other existing directed threshold group schemes, it has certain stability.

threshold group signature; directed threshold group signature; secret sharing ; discrete logarithm

2012-03-05

沈忠华(1973—)，男，副教授，主要从事密码学研究.E-mail：ahtshen@126.com

11.3969/j.issn.1674-232X.2012.05.012

TP309MSC2010: 94A60

A

1674-232X(2012)05-0443-04