Ｎｙｂｅｒｇ Ｒｕｅｐｐｅｌ簽名的部分盲化

摘要：在分析盲簽名固有缺點的基礎上，引入三個隨機參數，完整地解決了Nyberg Rueppel消息恢復簽名的部分盲化問題，給出了Nyberg Rueppel消息恢復簽名的一般性部分盲化方法。通過對參數的不同選取，得到三個部分盲簽名方案并對其進行效率比較，結論是方案1的效率高于方案2和3。方案2類似于張彤等人提出的方案，但是他們的方案無法抵抗竄改協定信息攻擊，提出的方案在簽名時使用了hash函數，從而可以抵抗這種攻擊。對提出的方案進行安全性分析，結論是提出的方案具有完備性、不可偽造性和部分盲性。

關鍵詞：密碼學； 數字簽名； 部分盲簽名

中圖分類號：TP309．08文獻標志碼：A

文章編號：1001－3695(2008)01－0251－03

0引言

Chaum[1]在1982年的美國密碼會議上首先提出了盲簽名的概念，它使得用戶能夠得到簽名人的簽名卻不讓簽名人知道所簽消息的內容，簽名人也無法將簽名過程與最終簽名結果對應起來，盲簽名的這種性質稱為盲性。盲簽名是由電子支付匿名性的要求提出來的，在電子投票選舉和網上招標等場合也有廣泛的應用。

一方面，電子支付的匿名性問題始終被人們所關注。如果某人進行每一筆電子交易的時間、金額和商品等信息均被第三方所掌握，那些關于他的行蹤、社交等信息就泄漏了，這是每個人都不愿意看到的。另一方面，為了保證電子支付的安全性和可控性，防止偷稅漏稅、洗黑錢等問題的出現，政府部門和稅務部門要能審核電子支付的情況。這與完全匿名性是矛盾的，理想的盲簽名系統應能夠解決這一矛盾。分割選擇法是解決盲簽名者對其所簽消息信任程度的一種技術，但是它會使系統效率降低很多，于是需要一種既能保證被簽消息對簽名者的匿名性，又能阻止用戶提供非法消息而濫用簽名的有效方案。1996年，Abe等人[2]在亞洲密碼會議上提出了部分盲簽名的概念和一個實現方案，克服了完全盲簽名的缺點；之后又有幾個方案[3，4]相繼被提出。

本文研究Nyberg Rueppel消息恢復簽名的部分盲化問題。Nyberg Rueppel簽名由Nyberg和Rueppel[5]提出，因其具有消息恢復的能力而具有特殊的意義。1994年，Camenisch等人[6]提出了該方案的一個盲化方案，文獻[7]提出了該方案的一般性盲化方法。本文完整地解決了Nyberg Rueppel消息恢復簽名的部分盲化問題：引入三個隨機數，得到了一般性部分盲化方案，通過對隨機數的不同選取，得到三個部分盲簽名方案，其中一個方案與文獻[8]中的方案基本相同，另外兩個是新的；但文獻[8]中的方案無法抵抗竄改協定信息攻擊，提出的方案在簽名時使用了hash函數，能夠抵抗竄改協定信息攻擊。

1預備知識

1．1部分盲簽名的基本概念

部分盲簽名是在完全盲簽名的基礎上增加了簽名人的信息，除滿足一般數字簽名的基本性質外，還必須滿足盲簽名的兩個條件：簽名人對所簽名消息的內容是不可見的；簽名信息是不可追蹤的。所謂部分意味著簽名人在盲簽名時可以加入自己的信息，消息提供者在得到簽名后不能對簽名人加入的信息進行竄改。

3結束語

在部分盲簽名中，簽名人在盲簽名時可以加入自己的信息，消息提供者在得到簽名后不能對簽名人加入的信息進行竄改，這比盲簽名更加實用。部分盲簽名可以看做是盲簽名的拓展，盲簽名可以看成是沒有商定信息的部分盲簽名，是部分盲簽名的一個特例。本文完整地解決了Nyberg Rueppel消息恢復簽名的部分盲化問題，得到了三個部分盲簽名方案（方案1因無須求逆而效率最高），并分析了提出的方案滿足部分盲簽名的所有性質。

參考文獻：

[1]CHAUM D. Blind signatures for untraceable payments[C]//Proc of Advances in Cryptology (Crypto’82).[S.l.]: Prenum Publishing Corporation， 1982:199－204.

[2]ABE M， FUJISAKI E. How to date blind signatures [C]//Proc ofAdvances in Cryptology (Asiacrypt’96). Berlin: Springer Verlag， 1996：244－251.

[3]ABE M， OKAMOTO T. Provably secure partially blind signatures [C]//Proc ofAdvances in Cryptology(Crypto2000). Berlin: Sprin￣ger Verlag， 2000:271－286.

[4]ZHANG F， SAFAVI N R， SUSILO W. Efficient verifiably encrypted signature and partially blind signature from bilinear pairings[C]//Proc of Indocrypt’03. Berlin: Springer Verlag， 2003:191－204.[5]NYBERG K， RUEPPEL L R. A new signature scheme based on the DSA giving message recovery [C]//Proc of the 1st ACM Conference on Computer and Communication Security. [S.l.]:ACM Press， 1993:58－61.

[6]CAMENISCH J L， PIVETEAU J M， STADLER M. Blind signatures based on the discrete logarithm problem [C]//Proc ofAdvances in Cryptology(Eurocrypt’94). Berlin: Springer Verlag，1994:428－432.[7]黃振杰，王育民，陳克非. Nyberg Rueppel消息恢復簽名的一般化和改進[J].通信學報，2005，26(12):131 135.[8]張彤，王育民.幾種部分盲簽名的算法設計及其安全性分析[J].西安電子科技大學學報，2004，31(6):963－966.



“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”