一種動態群簽名方案的安全性分析

摘 要：群簽名使得群中任何一個成員均可以代表該群進行簽名，而不會暴露簽名者的身份。當爭議發生時，簽名者的身份可以通過群管理員公開。成員刪除一直是群簽名方案設計中難以解決的一個問題，何業鋒等人最近在《軟件學報》上提出了一個利用ELGamal加密和知識簽名提出的一個動態群簽名方案。指出該方案中被刪除的群成員仍然可以作出簽名，因而他們的方案是不安全的。

關鍵詞：群簽名； 動態群簽名； 聯合攻擊

中圖分類號：TP309文獻標志碼：A

文章編號：1001-3695(2007)06-0129-02

群簽名是數字簽名的一種，由Chaum和Van Heyst于1991年提出［1］。群簽名的任何一個成員均可以代表該群進行簽名，即簽名者可以利用群簽名機制向驗證者證明他屬于此群體而又不會暴露他/她的身份。當爭議發生時，簽名者的身份可以通過群管理員公開。由于擁有這些特殊的性質，群簽名的應用范圍非常廣泛，如在電子現金、電子投票、電子拍賣等電子商務應用方面。

設計可以刪除群成員的方案一直是群簽名研究的難點。而目前提出的刪除群成員方案主要有兩種：①每一次群成員的刪除都需要改變群公鑰的參數或群成員的參數，即相當于為每一位群成員頒發新的成員證書［2］；②應用證書刪除鏈表對群成員進行刪除［3］。

1 動態群簽名方案的定義

動態群簽名方案［4］是包含以下六個協議或算法的數字簽名方案：

(1)創建算法(setup)。通過輸入一個隨機數能夠產生群的公開密鑰Y和群管理員的秘密密鑰S。

(2)注冊協議(join)。使得某用戶可注冊成為一個新的群成員。輸出為一個群成員的身份證書以及一個只有群成員知道的秘密密鑰。

(3)刪除協議(delete)。群管理員與成員之間的一個協議，使得一個群成員的簽名能力被撤銷。

(4)簽名算法(sign)。當輸入一個消息M與某個群成員的身份證書和秘密密鑰后，輸出對消息M的簽名。

(5)驗證算法(verify)。當輸入一個消息M和消息的簽名以及群的公開密鑰Y后，輸出關于這個簽名是否有效的確定性算法。

(6)打開算法(open)。當輸入消息M和它的簽名以及群管理員的秘密密鑰S后，輸出簽名者的身份。

一個好的動態群簽名也必須滿足下面一般群簽名應滿足的安全特性：

(1)不可偽造性。只有群成員能夠代表群進行簽名。

(2)匿名性。給定一個群簽名，除群管理員外，任何人想識別簽名者的身份都是計算困難的。

(3)不關聯性。除群管理員之外，判斷兩個不同的群簽名是否是由同一個群成員提交的是一個計算困難的問題。

(4)不可替代性。任何一個群成員與群管理員都不能代表其他的群成員進行簽名。

(5)可跟蹤性。群管理員能夠打開一個有效的群簽名，以揭示簽名者的身份。任何簽名者都不能阻礙一個有效的群簽名的打開。

(6)抗聯合攻擊性。任何群成員的聯合子集都不能生成一個不能被跟蹤的有效群簽名。

一個好的動態群簽名除了滿足一般群簽名應滿足的安全特性外還必須滿足：

(1)一個群成員一旦被刪除后，他就無法再生成有效的群簽名。

(2)被刪除的群成員以前所提交的群簽名仍具有匿名性與不關聯性，當然其他未被刪除的群成員所作的簽名也是匿名和不相關聯的。

2 HZ05動態群簽名

何業鋒等人于2005年提出的動態群簽名方案［4］屬于證書更新類動態群簽名方案。本文將介紹這個簽名方案，并對它進行安全分析。

2.1 系統參數建立

群管理員計算下面的值。

2.2 群成員加入協議

為加入群，Alice按如下步驟計算她的成員證書：

2.3 簽名算法

為了代表群對消息m進行簽名，Alice進行如下計算：

2.4 簽名的驗證

簽名的接收者可以根據驗證知識簽名V1與V2的正確性來判斷此群簽名的有效性。如果V1與V2有效則簽名(A，B，C，V1，V2)有效。

2.5 簽名的打開

2.6 群成員刪除算法

3 HZ05方案的安全性分析

這里主要說明，HZ05動態群簽名方案無法抵抗廣義聯合攻擊。在此，筆者將廣義聯合攻擊定義為任何兩個或以上的實體相互勾結即可構造出一個非法的，可能損害群體利益的有效簽名。在HZ05動態群簽名方案中，只要被刪除者如Bob和群中未被刪除的成員如Alice勾結即可繼續代表群進行有效的群簽名，而管理者也無法找出究竟是誰將秘密泄露給Bob的。

因為HZ05的成員身份的確定完全由成員證書表示，有成員證書即可代表該群進行簽名，所以Bob只需要得到新的成員證書即可繼續他的群成員身份。

即可以不通過群管理員而得到一個T′時刻后Bob的新群證書vT′B， Bob可使用此證書在T′時刻之后繼續生成有效的群簽名。而且即使簽名因為被群管理員解開而暴露出簽名者為Bob，群管理員也無法提供任何證據表明Bob在T′時刻已經被清理出群，他在T′時刻之后提供的簽名文件不具備代表該群的法律效應；也無法確認究竟哪一位（或多位）群成員是Bob的合謀者。由此證明了HZ05不可抵抗廣義聯合攻擊。

在現實中，如果出現如上述例子的廣義聯合攻擊，那么很有可能是這樣的情況：Alice和Bob同在Group公司任職，并且有權利用Group公司的名義簽署文件。有一天，Bob因為某些原因離開了Group公司（很有可能是被炒了魷魚），然而他和Alice依然保持著秘密的聯系。某次因為某些原因，在Alice的幫助下，離職的Bob利用Group公司的名義簽署了一項損害Group公司利益的文件。Group公司的管理者發覺以后，既沒有辦法給出證據證明此份簽署文件時Bob已經離職，因此文件無效，也沒有辦法找出究竟是誰和Bob合伙坑害了公司。

群簽名和現實應用聯系得十分緊密。由以上例子可以看出，具有抵抗本文所提出的廣義聯合攻擊的性質對動態群簽名來說十分必要。筆者建議將本文第1章中動態群簽名方案的安全性必須滿足的一般群簽名的安全性外，還必須滿足的兩條性質中的第一條修改為：一個群成員一旦被刪除后，他就無法再生成有效的群簽名，即使與其他群成員勾結也無法再生成有效的群簽名。

4 結束語

群簽名對于電子商務等的發展具有重要意義。允許群簽名具備刪除老成員的能力具有現實意義，并且是群簽名方案今后的發展趨勢。本文對何業鋒等人的動態群簽名方案進行了安全性分析，并給出了一種攻擊方法，證明了HZ05方案無法抵抗廣義的聯合攻擊，并據此對動態群簽名的安全性要求提出了一項修改建議。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。