一個可公開驗證且前向安全的簽密方案

(西南交通大學 a.信息科學與技術學院；b.信息安全與國家計算網格實驗室， 成都 610031)

摘 要：對一個可公開驗證的簽密方案進行了改進， 提出一個同時具有公開驗證性的和前向安全的簽密方案。使攻擊者不可能通過發送者私鑰得到本次及以前通信者的秘密信息，實現了可公開驗證性和前向安全性。

關鍵詞：簽密；前向安全；公開驗證

中圖分類號：TP309 文獻標志碼：A

文章編號：10013695(2009)01035902

Signcryption scheme with public verifiability and forward security

YU Xiuyinga，b，LAI Xina，HE Dakea，b

(a.School of Information Science Technology，b.Information Security National Computing Grid Laboratory， Southwest Jiaotong University， Chengdu610031， China)

Abstract:This paper improved signcryption schemes and as a result，proposed a public verifiable signcryption schemes with forward secrecy. In the improved schemes， the attacks which obtain the sender’s private key could not get any secret information between these participates before this communication.By these methods the improved schemes achieve public verifiability and forward security simultaneity.

Key words:signcryption; forward secrecy; public verify

保密性與認證性是密碼學中研究的重要課題，數字簽名和加密是密碼學的兩個基本而重要的功能。其中數字簽名具有提供消息完整性、認證性和不可否認性的功能，而加密則能提供消息的機密性。以往，簽名和加密是分開應用的，但隨著信息傳輸的網絡化，網上傳輸的信息往往同時需要認證和加密。

1997年，Y. L.Zheng提出一個新的認證加密方案，稱為簽密(signcryption)，它能在一個邏輯步驟內同時完成數字簽名和消息加密，實現保密和認證兩項功能，這比傳統的“先簽名后加密”所需的計算代價與通信代價要小得多，大大減少了計算量與通信量[1，2]，非常適合大量數據的認證安全傳遞。

簽密的高效性使其得到了廣泛的關注，近年來，有許多簽密方案提出來。但是，一方面，由于被簽密的消息在簽名的同時也被加密，不能像一般簽名那樣被公開驗證；另一方面，由于任何得到簽密者密鑰的人均可以解密本次及以前通信的簽密密文恢復出消息，簽密方案不具備前向安全性。在文獻[3]中指出，設計一個具有公開可驗證性和前向安全性的簽密方案是公開難題。

1998年，文獻[4]以Zheng的簽密方案為基礎，提出了一種簽名可公開驗證的簽密方案，即BD簽密方案，但該方案依然存在效率和安全問題。為了進一步解決簽密的公開驗證難題，2000年，文獻[5]基于BD方案和文獻[6]中的認證加密方案提出了一種可公開驗證的簽密方案，簡稱Lee方案。文獻[7]對Lee方案進行密碼分析研究，發現了其中存在的安全問題，并給出了一個改進方案，簡稱Zhang方案。本文研究后，將指出該方案不滿足前向安全性，因此，在此方案基礎上，設計了一個具有公開可驗證性和前向安全性的簽密方案，其他任何人均可驗證該簽名的有效性。而且，即使簽名者的簽密私鑰丟失，用此私鑰簽密過的任何消息均不會被指定接收者之外的其他人非法讀解，從而保證了方案的前向安全性。

關于前向安全，有方案[8]提出將r隱藏到指數上，本文同時指出，在進行公開驗證時，實際上r同樣可以被獲取，因此，并沒有真正實現前向安全性。

1 Lee方案

方案中系統參數p是一個大素數，q是p-1的一個大的素因子，g∈Z*p是q階元素，xa∈Zq和ya=gxa mod p是Alice的公鑰對；類似地，xb和yb是Bob的公鑰對，hash是一個單向散列函數，‖表示級聯。

設Alice要將需要認證加密的消息m∈Z*p發送給Bob，那么，Alice隨機選取整數k∈Z*q，計算K1=hash(gk mod p)，K2=hash(gkb mod p)， c=(m‖hash(m‖K2))，K1K2 mod p，s=(k-xac)mod q，并將(c，s)發送給Bob。Bob接收到(c，s)后，計算gk mod p=ssyc mod qa mod p，K1=hash(gk mod p)，K2=hash((gk)xb mod p)，m′=c/K1K2 mod p，并驗證m′=m‖hash(m‖K2)。當出現糾紛時， Bob將(K2，c，s)給第三方，第三方計算gk mod p=gs yc mod qa mod p，K1=hash(gk mod p)，m′=c/K1 K1 mod p，驗證m′=m‖hash(m‖K2)。

2 Zhang方案

文獻[7]對Lee方案進行分析后，指出其不滿足不可偽造性，對原方案進行了修改。修改方案中的參數(Ek，Dk)是安全的對稱加解密算法對，其余參數與Lee方案中的相同。

Alice隨機選取整數k∈Z*q，計算K1=hash(gk mod p)，K2=hash(ykb mod p)，c=EK2(m)，r=hash(K1，c mod p)和s=(k-xar)mod q ，并發送(c，r，s)給Bob。Bob接收到(c，r，s)后，計算gk mod p=gsyra mod p，K1=hash(gk mod p)，K2=hash((gk)xb mod p)，恢復消息m=DK2(c)，并驗證r=hash(K1，c mod p)。當出現糾紛，Alice否認自己的簽密時，Bob將(c，r，s)給第三方驗證。第三方計算

K1=hash(gs yra mod p)，驗證r=hash(K1，c mod p)即可。

3 本文方案

密鑰安全是密碼體制安全的關鍵，而竊取用戶的密鑰是非法攻擊者可能采取的攻擊方法之一。在Zhang方案中，如果敵手獲取了xa，c，r，s，則通過s=(k-xar)mod q，就可以計算出k，進而由K1=hash(gk mod p)，

K2=hash((gk)xb mod p)得到K1和K2，從而解密出前面所有的密文。因此，該方案不具有前向安全性，本文所提出的改進方案如下。方案中未提及的其他參數與Zhang方案相同。

Alice的簽密過程： 隨機選取整數k∈Z*q，計算K1=hash(gk mod p)，

K2=hash(gkb mod p)，c=EK2(m)，R=gK2mod p，

r=hash(K1，gK2，c mod p)和s=(k-xar-k2r) mod q。Alice計算傳遞(c，r，R，s)給Bob。

Bob解簽密過程：Bob得到(c，r，R，s)后，計算gk mod p=gsyraRr mod p，

K1=hash(gk mod p)，

K2=hash(（gk）xb mod p)，恢復消息m=DK2(c)，驗證r=hash(K1，gK2，c mod p)即可。 

當出現糾紛時，Bob將(c，r，R，s)發送給第三方驗證。第三方計算K1=hash(gsyraRr mod p)，驗證r=hash(K1，R，c mod p)。

4 方案的安全性分析及性能評價

41 安全性分析 

1）機密性 關于機密性，要求除了Bob， 其他任何人不能從（c，r，R，s）得到消息。在本方案中，K2是機密性得以保證的關鍵，因為K2=hash(ykb mod p)=hash((gk)xbmod p)，且只有Alice知道k值，Bob知道xb，所以，除了Alice和Bob以外，沒有人能算出K2，要想獲得消息，相當于解離散對數問題，即

Prob[m*=m|m*←Adversary(c，r，R，s)=ε≈εDLP]

這是不可能的，因此攻擊者無法獲取m(包括在公開驗證中) 。

2）不可偽造性 指任何外部攻擊者或內部攻擊者均不能偽造一個來自發方的關于某個消息的簽密。

在文獻[7]中，已證明Zhang方案滿足機密性、不可偽造性和不可否認性， 是一個安全的可公開驗證簽密方案。其簽名用的是Schnorr算法，而Schnorr簽名是可證明安全的，即沒有人(包括Bob)能偽造消息m的有效簽密密文(c，r，s)，使得

m=DK2(c)，r=hash(K1，c mod p)

其中：K1=hash(gsyra mod p)；K2=hash((gsyra)xbmod p)。否則Schnorr簽名就可偽造，這點在文獻[7]中給出了證明。在修改方案中也實現了不可偽造性， 因為在Zhang方案中，已對其不可偽造性進行了證明；而在本方案中，只增加了一個只出現在K1計算式中的參數R。如果有外部攻擊者偽造簽名(c′，r′，R′，s′)，由于其沒有xa，假設其任選k′，計算K′1=hash(gk′ mod p)，K′2=K′1=hash(gk′ mod p)，在驗證時，驗證方需要計算K1=hash(gsyraRr mod p），要使

K1=hash(gs′gxar′gK′2r′ mod p)=hash(gk′ mod p)

在不知道xa的前提下，相當于解離散對數問題，是不可能的。因此只有Alice可生成有效的簽密密文(c，r，R，s)，這點由公開驗證式可證得。

3）不可否認性 它是指當發送方Alice否認其曾向接收方Bob發送過消息m的簽密時，收方可以在不泄露其私鑰的前提下，向第三方提交必要信息進行驗證。由于本方案具有不可偽造性，只有Alice能夠生成有效的簽密密文；而且本方案是可公開驗證的，任何人均可以驗證是否(c，r，R，s)為Alice生成的有效簽密密文， 因此只要通過驗證，Alice無法否認其簽名的消息，從而實現了不可否認性。

4）前向安全性 關于前向安全，一些方案[8]提出將r隱藏到指數上，但實際上在進行公開驗證時，仍然可通過以下步驟計算得到r的值：k1=(yAR)s mod p，r=H(m，k1)。進而由s=x(r+xA)-1 mod q得到x值，由k2=H(yBx mod p)得到k2，從而恢復消息m。

因此，這類方案中只是在驗證時將用另一個符號代替，實際上r同樣可以被獲取，這些方案并沒有真正實現前向安全性。

在本方案中，攻擊者只有獲得了K1和K2才能對消息進行解密。設攻擊者獲取了xa、r、R和s，進行如下攻擊：

如果想要由R=gK2計算出K2相當于解離散對數問題，是不可能的；如果想由式s=(k-xar-K2r)mod q，得到k值，攻擊者僅有xa、r和s，因此攻擊者無法計算出k值，也就無法計算出K1和K2來解密前面的消息；且由于解簽密需要K2，而簽密時K2=hash(ykb mod p)，解簽密時K2=hash((gk)xb mod p)，攻擊者不知道k值或xb，無法獲得K2解密出消息。

42 性能評價

關于效率問題，本方案為保證前向安全性，需要多計算一次R=gK2，并發送給Bob，但對于計算能力較高的加密方來說，以較小的計算量的增加換取安全性的增加是可以接受的；而對于解密方和驗證方來說，由于直接對Rr進行乘法運算，計算量并沒有顯著的增加。

5 結束語

簽密能在一個合理的邏輯步驟內同時實現保密和認證兩項功能，與先簽名后加密的方法相比效率更高，因而成為實現既保密又認證的傳輸消息的理想方法之一，得到了廣泛的應用，如電子現金支付、密鑰分配等。但是現已公開發表的簽密方案大多不同時具有普遍可驗證性和前向安全性。本文在一個可公開驗證的簽密方案基礎上，提出一個同時滿足公開可驗證性和前向安全性的簽密方案。它同時滿足公開可驗證性和前向安全性，解決了文獻[3]提出的一個公開問題，從而為簽密在電子商務、公平交易、密鑰協商等實際中的應用提供了強的理論工具。由于簽密的高效性，在現有的許多方案之上，可以進一步研究如何將簽密方案與實際應用相結合。

參考文獻：

［1］

ZHENG Yulang.Digital signcryption or how to achieve cost (signature encryption) <

［2］ZHENG Yulang.Signcryption and its applications in efficient public key solution[C]//Proc of Information Security Workshop (ISW’97).London:SpringerVerlag， 1997:291312.

［3］LIBERT B，QUISQUATER J J.A new identity based signcryption schemes from pairings[C]//Proc of IEEE Information Theory Workshop.[S.l.]:SpringerVerlag， 2003:155158.

［4］BAO F，DENG R H.A signcryption scheme with signature directly verifiable by public key [C]//Proc of PKC’98.London:SpringerVerlag， 1998:5559.

[5]HORSTER P，MICHELS M，PETERSEN H.Authenticated encryption schemes with low communication costs[J].Electronics Letters，1994，30(15):12121213.

[6]LEE M K，KIM D K，PARK K.An authenticated encryption scheme with public verifiability[C]//Proc ofJapan Korea Joint Workshop on Algorithms and Computation.Tokyo:[s.n.]，2000:4956.

[7]張串絨，肖國鎮.一個可公開驗證簽密方案的密碼分析和改進[J].電子學報，2006 ，34(1):177179.

[8]李艷平，譚示崇，王育民.一個公開可驗證和前向安全的簽密方案[J].計算機應用研究，2006，23（9）:9899.