一种指定验证人代理签名方案的安全性分析

E-mail:18931193061@163.com

一种指定验证人代理签名方案的安全性分析

王俊香1，郭强2，王勇兵3

(1.石家庄职业技术学院学工部,河北石家庄050091；

2.石家庄职业技术学院图书馆，河北石家庄050091；

3.河北师范大学附属民族学院,河北石家庄050091)

摘要：针对田晓东等提出的可快速撤销代理权的指定验证人代理签名方案，指出它容易遭受原始签名人的公钥替换攻击和代理签名人的伪造攻击，并且也不具备指定的可验证性.为了克服原方案的安全性缺陷，提出了一种改进方案，满足指定验证人代理签名的安全要求,可避免公钥替换攻击和伪造签名攻击.

关键词：指定验证人；代理签名；公钥替换攻击；伪造攻击

收稿日期：2014-10-08;修改稿收到日期:2015-02-06

基金项目:河北省教育厅科研基金资助项目(QN2014108);河北师范大学科研基金资助项目(L2013Q10)

作者简介：王俊香(1982—),女，河北河间人，讲师，硕士.主要研究方向为密码学.

中图分类号：TN 918.1文献标志码：A

Security analysis of a designated-verifier proxy signature scheme

WANG Jun-xiang1,GUO Qiang2,WANG Yong-bing3

(1.Student Affairs Department,Shijiazhuang Vocational Technology Institute,Shijiazhuang 050091,Hebei,China;

2.The Library,Shijiazhuang Vocatinal Technology Institute,Shijiazhuang 050091,Hebei,China;

3.College of Nationalities,Hebei Normal University,Shijiazhuang 050091,Hebei,China)

Abstract:In the light of the security analysis of a designated-verifier proxy signature scheme with fast proxy right revocation proposed by Tian et al,it is found that the scheme could not resist public-key substitute attacks and forgery attacks,and it is not satisfied the restrictive verifiability.In order to resolve the security problem existing in Tian’s scheme,a new designated-verifier proxy signature is proposed,which meets the safe requirements of designated-verifier proxy signature and can resist public-key substitute attacks and forgery attacks.

Key words:designated-verifier;proxy signature;public-key substitute attack;forgery attack

Mambo等[1]于1996年首先提出了代理签名的概念，解决了数字签名权的委托问题，广泛应用于电子商务、电子现金和分布式共享系统等领域.在普通代理签名中，任何人利用原始签名和代理签名人的公钥都可以验证代理签名的有效性，但在数字音乐和数字电影等电子商品的网络销售中，生产商在委托经销商的同时，可能希望只有购买者才能验证商品的合法性和有效性.为了解决这个问题，Park等[2]于2001年首次提出指定验证人的代理签名，它的基本思想是原始签名人在委托代理授权的同时，指定特定的验证人来验证代理签名的有效性，任何第三方都无法验证签名.文献[3]构造了一个适用于电子商务的指定验证人代理签名方案，可以有效预防代理权的滥用，但文献[4]指出该方案容易受到原始签名人的伪造攻击，也不具备指定验证人验证签名的特性，并提出一个多定向代理签名方案，但是这两个方案中原始签名人不能提前结束授权，且缺少可信时间戳.为了完善地解决代理权撤销问题，田晓东等[5]利用原始签名人维护的公共撤销列表和验证人发放的可信的时间戳，提出了一个可灵活撤销代理权的指定验证人代理签名方案，但是安全性分析发现该方案无法抵抗原始签名人的共钥替换攻击和指定验证人的伪造攻击，而且代理签名人也可以向第三方验证代理签名的有效性.通过优化代理私钥结构，增加签名人和验证人信息交互，修改签名协议等途径，提出了一种改进方案，新方案具备多指定验证性，抵抗原始签名人与代理签名人替换攻击和伪造攻击的特性.

1符号约定

p为一个大素数;g为Z*p的一个生成元;h为一个防碰撞的单向安全哈希函数;A为原始签名人;B为代理签名人;V,V1,V2,…,Vn为多个指定验证人;xA∈RZp-1为A的私钥，yA=gxAmodp;xB∈RZp-1为B的私钥，yB=gxBmodp;xV,x1,x2,…,xn为V,V1,V2,…,Vn的私钥;yV,y1,y2,…,yn为V,V1,V2,…,Vn的公钥，yV=gxVmodp,yi=gximodp;m为消息串;mw为授权代理委托，它包含代理期限、代理签名范围、原始签名人身份信息、代理签名人身份信息和指定验证人信息等.

2文献[5]方案的安全性分析

2.1代理授权

1)原始签名人选择kA∈RZ*p-1，计算rA=gkAmodp, σA=kA+xAh(mw,rA) mod p-1，然后发送(mw,rA,σA)给代理签名人.

2.2代理签名的产生和验证

1)代理签名人发送(mw,rA,σA,m)给指定验证人.

Tv=kv+xVh(m,t,rv) modp-1,

并将(rv,t,Tv)传送给代理签名人.

4)指定验证人验证

2.3代理权撤销

若原始签名人想提前终结代理授权，只需要将rA放入公共撤销列表中，指定验证人发现rA在公共撤销列表中,将拒绝给代理签名人颁发有效的时间戳，代理签名人没有时间戳就无法产生有效的签名，从而实现代理权撤销.

2.4文献[5]方案的安全性分析

结论1原始签名人可以通过替换自己的公钥对任何消息伪造有效的代理签名.

结论2对任意消息m″,指定验证人都可以伪造有效的代理签名.

证明在收到代理签名人发过来的(mw,rA)后，指定验证人首先选择k″v∈RZ*p-1，计算r″v=gk″vmodp, T″v=k″v+xVh(m″,t″,r″v)modp-1,生成时间戳(r″v,t″,T″v)，然后计算

结论3代理签名人能向第三方验证代理签名的有效性.

结论4只有原始签名人指定的一个验证人才能验证代理签名.

这在实际应用中有很大的局限性.

3改进方案

针对文献[5]方案的安全性问题，主要在代理授权与代理签名的生成和验证这两个阶段进行改进，代理权撤销过程与原方案一致.

3.1代理授权

1)原始签名人获取指定验证人V1,V2,…,Vn的公钥y1,y2,…,yn、代理有效期、代理签名的消息范围、代理签名人公钥yB等,生成代理授权证书mw.

3.2代理签名的生成和验证

2)指定验证人Vi验证

并检查代理签名人是否符合mw中的规定及rA是否在公共撤销列表中，若验证检查通过，则选择ki∈RZ*p-1，计算

并将(ri,t,Ti)传送给代理签名人.

3)代理签名人检查t是否在当前范围内，然后选择kB∈RZ*p-1，计算

u=rig-kBmodp,

s=kB-xph(m,mw,ri,t,Ti) modp-1,

4)指定验证人Vi计算

4方案分析

4.1正确性

4.2不可伪造性

定理2原始签名人和指定验证人均无法伪造有效的代理签名.

来伪造一个yA将面临离散对数难题；若由xp=σA+xBrA mod p-1求解xp必须知道代理签名人私钥xB,而由yB=gxBmodp求解xB也等价于离散对数难题.故新方案可以避免遭受恶意原始签名人发起的公钥替换攻击.

2)指定验证人无法伪造签名.新方案代理签名(m,mw,rA,ri,t,Ti,u,s)中u,s对指定验证人Vi是未知的，Vi要伪造有效的代理签名就需要伪造有效的u,s，而

中含有随机参数kB和代理私钥xp，虽然Vi知道σA,rA，但是由xp=σA+xBrA mod p-1计算xp还需要知道代理签名人私钥xB，由yB=gxBmodp求解xB等价于解决离散对数难题,故指定的验证人不能伪造签名.】

4.3多指定的可验证性

定理3新方案具有多指定的可验证性.

5结束语

指定验证人代理签名是一种特殊的数字签名机制，广泛应用于电子商务、电子金融和电子选举等领域，但现有许多方案[5-10]都缺少代理签名的指定验证性.文中在文献[5]方案的安全性分析基础上,提出了一种改进方案，新方案可以有效抵抗原始签名人的公钥替换攻击和验证人的伪造攻击，而且指定验证的灵活性更强.

参考文献:

[1]MAMBO M,USUDA K,OKAMOTO E． Proxy signatures for delegating signing operation[C]//Proceedingsofthe3rdACMConferenceonComputerandCommunicationsSecurity．New York:ACM,1996:48．

[2]PARK H U,LEE I Y.A digital nominative proxy signature scheme for mobile communication[C]//ProceedingsofInformationgandCommunccationsSecurity.Berlin:Springer,2001:451.

[3]DAI Jia-zhu,YANG Xiao-hu,DONG Jin-xiang.Designated-receiver proxy signature scheme for electronic commerce[C]//ProceedingsofIEEEInternationalConferenceonSystems,ManandCybernetics.New York:IEEE Press,2003:384.

[4]谷利泽，李中献，杨义先.不需要可信任方的匿名代理签名方案[J].北京邮电大学学报,2005,28(1):48.

[5]田晓东，王箭，杜贺.可快速撤销代理权的指定验证人代理签名[J].计算机应用与软件，2013,30(11):95.

[6]WANG G L.Designated-verifier proxy signature schemes[C]//SecurityandPrivacyintheAgeofUbiquitousComputing:Proceedingsofthe20thInternationalConferenceonInformationSecurity(IFIP/SEC2005).Berlin:Springer,2005:409.

[7]王晓明，符方伟.指定验证人的(t,n)门限代理签名方案[J].软件学报,2005,16(6):1190.

[8]李素娟，张福泰，黄欣沂.一种高效的指定验证人的代理签名方案[J].计算机工程,2006,32(23):148.

[9]李明祥，郑雪峰， 朱建勇,等.一种高效的基于身份的强指定验证者签名方案[J].四川大学学报(工程科学版),2009,41(4):176.

[10]左伟平，刘云芳，王三福,等.前向安全的指定验证人代理多重签名方案[J].数学的实践与认识,2010,40(11):119.

(责任编辑惠松骐)