一种强前向安全的数字签名方案的研究

刘国辉，王东政

(沈阳大学教务处计算中心，沈阳110044)

通常普通数字签名安全性主要有两个方面，一是通过数字签名抵抗密码分析，即签名安全性。另一个是签名密钥保管，即签名密钥安全性。前者主要是对安全参数和假设的依赖，通常选择著名ELGamal数字签名，RSA数字签名与参数的大数据签名安全性来抗密码分析。后者一旦密钥被泄漏，整个系统会出现灾难性后果。现实世界主要针对后者攻击，即签名的泄漏是难免的，一旦密钥被泄漏后，即使保存很久的签名安全性也会出现问题。

针对以上的问题和传输中的泄漏，专家们提出了不同的方式去降低系统密钥被泄露的机会。1997年Anderson针对以上问题提出了前向安全概念，前向安全概念主要是对密钥有效期分时段，通过单向模式的每个时段是最后签名者，在当前时段，密钥对下个时段得到密钥，并对不使用的密钥进行安全删除。公钥在整个密钥周期里不变，通过这种方式保证了泄漏密钥时段签名有效性。

签名密钥进化是通过前向安全数字签名实现的。初期用户通过注册得到一个证书，获得初始密钥SK0与公钥。针对有效期划分T个时段，记1，2，3，……，T。公钥PK有效期内是固定，通过时段不段密钥更新。i时段密钥为SKi。i时段得到SKi=f(SKi－1)，f为单向函数，获得SKi后，马上删除SKi－1。在i时段，攻破系统获得密钥SKi，不能得到SKi－1，SKi－2，……，SK0，因为这些密钥通过单向函数已经被删除。签名秘密密钥进化如下:

当前向安全方案不断发展和实践，通过通常签名Miner，Bellare对安全定义进行了扩展，得出前向安全正式概念，从此有了许多前向安全的数字签名方案如［1-5］被陆续提出［1-5］。最近，徐光宝等［6］提出了一种强前向安全的数字签名方案，本文通过对该方案的分析指出该方案的验证过程存在错误，并对验证过程做了修改，使真正的签名能通过验证。1 文献［6］方案介绍

基于Guillou-Quisquater设计强前向安全的数字签名。整个方案分成初始签名密钥生成、签名密钥的更新、签名生成、及签名验证4个部分。假定签名者是Alice，签名接收者是Bob，有效期分T个时段。在每个签名时段Alice有2个私钥。

1.1 签名密钥生成

签名密钥生成过程如下:

第一，Alice进行随机取2个素数p和q，满足条件p≡q≡3 mod 4，得出n=pq，选取2个整数和 ，使它们满足如下条件:

第三，Alice计算:

并将它们分别加密保存。

第四，Alice公开{n，y1，y2，v，w}。

1.2 签名密钥的更新

令x0=x mod n，第i(1≤i≤T)个签名时段，Alice一方面根据等式xi=x2i－1，计算第i阶段的第一私钥xi，同时永久删除xi－1;另一方面对zi解密第i时段私钥。

1.3 签名生成

假设m是待签名，i(1≤i≤T)签名时段为例，Alice生成签名步骤如下:

第一，随机选2个整数k，r∈RZ*n，得出:

Q=kvrwmod n

第二，计算杂凑值:e=H(m‖Q‖i)，使之满足1≤e＜v和1≤e＜w;否则，返回步骤一。

Alice把(m，s1，s2，e，i)签名数据给验证者Bob。

1.4 签名验证

验证者Bob接收到Alice的签名数据后，进行验证步骤如下:

第二，计算出e'=H(m‖Q'‖i)。

第三，验证等式e=e'是否成立，成立签名有效，否则签名无效。

2 对文献［6］的分析

通过对文献［6］的分析发现其验证部分存在错误，即使是签名者Alice的真实签名，接收者Bob也不能验证该签名是真实的。

设m为待签名消息，签名者Alice在第i时段执行1.3节步骤，获得对m签名(m，s1，s2，e，i)，不能通过1.4节验证得到。

具体证明如下:

所以有

又因为

Q≠Q'

所以有

e≠e'

故即便是签名者Alice真正的签名，也不能通过验证，该签名方案是错误的。

3 对文献［6］验证部分的改进

下面通过对文献［6］的验证部分进行改进，使真正的签名能通过验证，证明其有效。具体验证过程如下:

第二，计算出e=H(m‖Q‖i)。

第三，验证等式e=e'是否成立，成立签名有效，否则签名无效。

4 修改方案正确性及安全分析

4.1 正确性分析

设m'为待签名，签名者Alice对1.3节签名步骤进行操作，获得签名数据，通过验证步骤如下。具体证明如下:

所以有

4.2 方案的安全性分析

文献［6］给出了方案的安全性分析及前向安全和后向安全的分析，指出了该方案本身是安全的，同时具有前向安全和后向安全的特性，由于本文所做的只是在验证部分对原方案作了修改，所以改进方案具有前后向安全特点。

5 结语

本文针对强前向安全数字签名进行了分析，发现其验证部分存在错误，导致正确的签名不能通过验证，并对该方案的验证部分做了改进，使其具有验证的功能，并对签名的安全性做了说明。

［1］ 邓宇乔.前向安全的盲代理重签名方案［J］.计算机工程与应用，2011，47(16):97—100.

［2］ 万世昌，程丽红，张珍.前向安全的混合代理多重签名方案［J］.计算机工程与应用，2011，47(12):80—83.

［3］ 芦殿军，张秉儒，赵海兴.基于多项式秘密共享的前向安全门限签名方案［J］.通信学报，2009，30(1):45—49.

［4］ 于嘉，孔凡玉，郝蓉，等.一个基于双线性映射的前向安全门限签名方案的标注［J］.计算机研究与发展，2010，47(4): 605—612.

［5］ 刘亚丽，秦小麟，殷新春，等.基于模m的n方根的前向安全数字签名方案的分析与改进［J］.通信学报，2010，31(6):82—87.

［6］ 徐东宝，姜东焕，梁向前.一种强前向安全的数字签名方案［J］.计算机工程，2013，39(9):167—169.