基于离散对数新的多重代理多重盲签名方案

杨倩倩,范自强

(安徽理工大学 数学与大数据学院, 安徽 淮南, 232001)

数字签名技术在现代社会中占有非常重要的地位,为了解决用户不想在签名时泄露自己信息的问题,许多隐藏消息的签名方案被提出.为解决此类问题Chaum于1982年首次提出盲签名,Chaum在文献[1]中并没有详细介绍具体的算法和步骤来实现盲签名,盲签名不仅满足一般签名所具有的性质,还具有以下性质:

1)不可伪造性.每个签名者都有自己的私钥.在进行签名时,签名者利用自己的私钥对消息进行签名,除签名者自己外,没有人能有效地伪造出他的签名.

2)盲性.签名者在签名时不知道待签名消息的具体内容.

3)不可追踪性.当签名被公开时,签名者并不能通过该签名追溯到签名时间和签名内容.

盲签名一被公开就有许多学者提出各种类型的盲签名方案,1985年Chaum给出基于RSA的盲签名体制,2007年韩春霞[2]等人提出一种ELGamal体制的盲签名方案利用离散对数难解的特点设计了一种盲签名方案.2019年李凤银等人[3]提出一种新的RSA盲签名.

为了解决签名者由于某种原因不能及时对用户进行签名的问题,Mambo,Usudat和Okamoto[4]于1996年首次提出代理签名方案,代理签名也像盲签名一样要满足代理签名被广泛用于网络计算、移动代理等诸多领域,同时有许多学者提出各种各样的代理签名方案[5-7].

代理盲签名由Lin和Jan[8]于2000年首次提出,该方案主要是结合代理签名与盲签名的优点.随着代理盲签名被用于不同的情景,不同的方案也被提出,比如代理多重签名[9-10]、群代理签名、代理多重盲签名[11]、 多重代理多重盲签名[12-13]等.多重代理签名方案是一个原始签名者委托多个代理签名者代替签名,只有这些代理签名者相互合作才能生成有效的代理私钥,对消息进行签名.代理多重盲签名是一个代理人同时为一组原始签名者进行盲签名,但是在实际中也存在多个原始签名者委托多个代理签名者对重要文件进行盲签名,这就需要引入多重代理多重签名方案.本文在文献[14-16]的基础上提出一种新的基于离散对数多重代理多重盲签名,在新方案的代理授权阶段利用Schnorr签名方案.新的方案较已存在的方案,可以抵抗原始签名者内部攻击,方案通过正确性分析和安全性分析可知是安全有效的.

1 预备知识与符号规定

1.1 离散对数问题

1.2符号定义

p,q:两个大素数,q|p-1.

h(·):安全的强哈希函数.

‖:比特串的并.

Ai:第i个原始签名者,A1,A2,…,An表示原始签名组的n个成员.

xAi:Ai的私钥.

yAi:Ai的公钥,yAi=gxAi.(modp)(i=1,2,…,n)

Bj:第j个原始签名者,B1,B2,…,Bm表示代理签名组的m个成员.

xBj:Bj的私钥.

yBj:Bj的公钥,yBj=gxBj(modp)(j=1,2,…,m).

UI:消息的拥有者.

UC:消息的接收者.

mwij:原始签名者Ai与代理签名者Bj协商生成的代理委托证书,其中包括原始签名者Ai与代理签名者Bj的身份标识,代理签名者Bj的代理期限,以及文件M的范围等.

2 代理授权过程

2.1授权过程

原始签名者Ai(i=1,2,…,n)和代理签名者Bj(j=1,2,…,m)执行以下步骤完成授权信息签名.

1)原始签名者Ai随机选择两个大素数p0和q0,计算模数n0=p0q0,φ(n0)=(p0-1)(q0-1).在选择一个大整数e,要满足gcd(e,φ(n0))=1,且ed≡1(modφ(n0)),其中p0,q0,d为私钥,Ai公布n0和e.

2.2代理密钥生成

1)Bj验证原始签名者Ai所有的授权签名(rij,mwij,sij,tij)(1≤i≤n,1≤j≤m),若所有签名都成立,Bj接下来开始计算代理密钥.

3 代理签名阶段

(1)

e′=h(r‖M)(modq)

(2)

(3)

UI将e*发给代理签名者Bj.

4 签名验证阶段

任何一个验证者都可以利用多重代理多重盲签名(M,s,e′)验证等式

(4)

若等式(4)成立,验证者接受签名,否则拒绝签名.

5 新方案分析

5.1正确性分析

定理3:(M,s,e′)是代理签名者Bj使用代理私钥xij代表原始签名者Ai对文件M进行的多代理多重盲签名.

5.2安全性分析

1)不可伪造性

在新提出的方案中,假如攻击者想要伪造原始签名者Ai(1≤i≤n)对代理签名者Bj(1≤i≤m)的授权签名(rij,mwij,sij,tij),不仅要解决因式分解困难问题,而且还要解决离散对数困难问题.若要伪造tij,首先知道δij=yBjxi(modn0),但攻击者并不知道Ai的私钥,同时也不知道p0和q0.若要伪造rij,攻击者也必须知道kij,但kij是Ai随机挑选的,从而求解rij也将面临离散对数困难问题.同时代理委托证书mwij也确保除Bj以外的人不能成为代理签名者,因为证书中有Bj的身份标识,且Bj在确认授权信息后,结合授权签名和自己的私钥生成代理签名私钥xij.因此,除了代理签名者Bj,任何攻击者都不能伪造合法的代理签名.

2)安全通道

在多重代理多重盲签名授权阶段,原始签名者Ai不需要通过一个安全的传输信道来传递参数δij.因为由定理1知,除了原始签名者,只有Bj知道δij,其他人想要求出δij将要面临求解Ai或Bj的私钥,即求解离散对数问题.假设攻击者得到(tij,mwij),但是由于Bj的身份标识已经在mwij中,即使其他人求解出来δij也是不被承认的,从而代理授权信息以及签名信息是不需要通过安全信道的.

3)不可链接性

4)不可否认性

由定理1知Ai为真实的多重代理授权人,从授权签名(mwij,sBj,rBj,e)中知这是Ai委托m个代理签名者Bj利用代理私钥xij进行的盲签名.因为sBj中有Ai的私钥xAi,从而Ai不能否认对Bj的授权.同样代理私钥xij中含有Bj的私钥xBj,且从多重代理多重盲签名(M,s,e′)中也知道Bj不能否认对文件M的代理签名.

5)多代理签名的可区分性

授权证书mwij中有Ai和Bj的身份标识,在授权阶段和签名阶段均用到Ai和Bj的公钥yAi和yBj,所以代理签名与一般的签名很容易被其他人识别出来.

6)盲性

7)防滥用性

由于(M,s,e′)是代理签名者Bj使用代理私钥xij对文件M进行的多重代理多重盲签名.由定理3的证明可知,单个或少于m个代理签名者Bj都会导致此多重盲签名失败,阻止了某个Bj对签名权的滥用.

8)可注销性

若原始签名者Ai不想再委托Bj代理签名,只需要广播授权参数δij不再使用,从而Bj的代理私钥xij将会失效,同时由Bj产生的代理签名也不会再有效.

9)抵抗原始签名者内部攻击

6 结 语

随着网络科技的进步,人们的生活变得网络化和信息化,越来越多网络攻击和非法入侵都让信息安全这一领域变得具有挑战性.如何保障信息的安全性、保密性和真实性是当前社会的关注点,数字签名也开始变得重要.本文基于多重代理多重签名和盲签名的提出一种新的多重代理多重盲签名,它综合了多重代理多重签名和盲签名的优点,具有很强的安全性.该方案在原来方案的代理私钥生成时加入新的参数,使得代理私钥更加难以被攻击者破解.经过正确性和安全性分析新的方案不需要安全通道可以抵抗原始签名者的内部攻击,具有不可伪造性、不可否认性、可区分性和防滥用性,同时也满足盲签名的盲性和不可链接性.