一種新的封閉ECDSA簽名閾下信道方案

汪希仁，孫戰(zhàn)輝，祝永霞

（1 新疆軍區(qū)政治部秘書群聯(lián)處新疆烏魯木齊830042）

（2 烏魯木齊民族干部學(xué)院新疆烏魯木齊830002）

1 引言

閾下信道[1]，也稱潛信道，最早是由G.J.Simmons于1978年提出的。閾下信道可以提供很多有價(jià)值的應(yīng)用，但同時(shí)它的存在也為信息安全構(gòu)成了挑戰(zhàn)，犯罪分子可以利用該信道從事危害國(guó)家安全的非法活動(dòng)等。因此，封閉閾下信道是閾下信道研究的另一個(gè)重要方面。在實(shí)際應(yīng)用中，通過檢測(cè)的方法來發(fā)現(xiàn)并阻止閾下信道的使用是比較困難的。封閉閾下信道之所以困難，除了一直沒有找到理想封閉模型外，其特點(diǎn)決定它的安全性是無(wú)條件的和計(jì)算上不可破的。到目前為止，學(xué)術(shù)界對(duì)完全封閉閾下信道還沒形成定論。目前的封閉閾下信道較好的密碼通信協(xié)議是讓看守參與密碼協(xié)議的執(zhí)行，使發(fā)方無(wú)法嵌入閾下消息，從而實(shí)現(xiàn)對(duì)閾下信道的封閉。研究表明，ECDSA中不僅存在寬帶閾下信道，也存在窄帶閾下信道，并且，利用M iracl大數(shù)庫(kù)，在平衡傳輸信息容量與簽名時(shí)間的條件下，窄帶閾下信道在橢圓曲線數(shù)字簽名中可以被有效利用[2]。目前的封閉方案都是對(duì)DSA類簽名的封閉性研究[3-6]，而對(duì)ECDSA封閉性研究很少。ECDSA是基于橢圓曲線離散對(duì)數(shù)上的簽名，其封閉方案有自己的獨(dú)特性。基于此，本文提出了一種新的封閉ECDSA閾下信道方案。該方案令看守參與簽名的生成,但沒有偽造簽名的能力,從而在保證簽名者的簽名權(quán)力的前提下,實(shí)現(xiàn)了對(duì)因隨機(jī)會(huì)話密鑰而引入閾下信道的完全封閉。

2 封閉閾下信道理論模型

目前的閾下信道封閉模型主要分為兩類[7]：由公正方產(chǎn)生真隨機(jī)數(shù)的封閉閾下信道模型和監(jiān)督方參與的封閉閾下信道模型。

2.1 由公正方產(chǎn)生真隨機(jī)數(shù)的封閉閾下信道模型

圖1 無(wú)監(jiān)督方封閉閾下信道模型

該模型是由公正的第三方（如政府部門）或者真隨機(jī)數(shù)發(fā)生器來生成真隨機(jī)數(shù)封閉閾下信道的。每次簽名時(shí)，簽名者只能使用無(wú)關(guān)的第三方或者真隨機(jī)數(shù)發(fā)生器產(chǎn)生的真隨機(jī)數(shù)作為會(huì)話密鑰。避免了發(fā)送者選擇會(huì)話密鑰的可能，保證了會(huì)話密鑰的隨機(jī)性，從而封閉了閾下信道。

2.2 監(jiān)督者參與的封閉閾下信道模型

圖2 監(jiān)督者參與的封閉閾下信道模型

該模型中，簽名者和監(jiān)督者共同“合作”生成簽名隨機(jī)數(shù)，同時(shí)必須滿足最終會(huì)話密鑰的隱私性和隨機(jī)性[8]。在簽名隨機(jī)數(shù)產(chǎn)生的協(xié)商過程中，簽名者和監(jiān)督者都應(yīng)該保證在簽名完成前無(wú)法預(yù)知對(duì)方產(chǎn)生的隨機(jī)數(shù)，即保證自己產(chǎn)生的隨機(jī)數(shù)的隱秘性，并要求在簽名完成時(shí)能對(duì)對(duì)方的簽名隨機(jī)數(shù)進(jìn)行驗(yàn)證。在簽名過程中，簽名者和監(jiān)督者能相互監(jiān)督，以保證不存在欺騙行為，最終簽名由監(jiān)督者生成。因此，根據(jù)該模型，簽名者和監(jiān)督者能在公平的狀態(tài)下協(xié)商會(huì)話密鑰，并共同完成簽名，既保證了簽名隨機(jī)數(shù)的隱秘性和隨機(jī)性，又保證了簽名的隨機(jī)性和安全性，從而封閉了閾下信道。

3 封閉ECDSA閾下信道方案介紹

ECDSA是基于橢圓曲線離散對(duì)數(shù)上的簽名，其封閉方案有自己的獨(dú)特性。眾所周知，會(huì)話密鑰的隱私性和隨機(jī)性是封閉閾下信道成功與否的關(guān)鍵，因此，在新設(shè)計(jì)方案中,我們令看守W arden參與簽名的生成,并且使W arden沒有偽造簽名的能力,從而在保證簽名者的簽名權(quán)力的前提下,實(shí)現(xiàn)了對(duì)信道的完全封閉。

其中 為有限域（ 的特征為p），q為有限域元素的個(gè)數(shù)；

FR為有限域中元素的表示方法(用多項(xiàng)式表示或正規(guī)基表示)；

封閉ECDSA閾下信道方案如下：

假設(shè)通信雙方為Alice和Bob，看守為W arden。，首先W arden秘密選取2個(gè)大數(shù)，滿足然后協(xié)議執(zhí)行如下：

4 方案的安全性分析

令 k=k'k"， 則 最 終 的 簽 名，這和普通的ECDSA簽名沒區(qū)別，因此除了對(duì)看守之外第三者是安全的。總結(jié)起來，主要有以下3種情況：

情 況 1. 看 守 W arden 在 第 3 步 試 圖 通 過破解'。這相當(dāng)于有橢圓曲線上的離散對(duì)數(shù)問題，是不可行的；

5 方案的封閉性分析

下面從封閉寬帶信道、窄帶閾下信道、失敗終止式窄帶閾下信道和布谷鳥信道四種信道逐一來說明該方案的封閉性。

與簽名者Alice和接收者Bob共享其私鑰dA試圖建立寬帶閾下信道。他將閾下信息作為進(jìn)行簽名，但由于接收者Bob不知道看守的會(huì)話密鑰k"的值，也就無(wú)法從中計(jì)算出k'，因此成功封閉了寬帶閾下信道。

簽名者Alice如果想建立失敗-終止信道，必須以(r,s)為載體。從協(xié)議中看出，盡管Alice可以得到但對(duì)一無(wú)所知。顯然，在不知道 情況下計(jì)算簽名（r,s）是不可能的。因此，Alice由于不能控制而不能建立窄帶閾下信道，包括1比特的失敗-終止信道。

在第1步，W arden選擇隨機(jī)數(shù)k"和β 向Alice承諾。由于W arden不知道k'的值，因此他無(wú)法通過第3步來控制r的值。如果第3步W arden試圖改變了承諾的k"，就必須找到一個(gè)k"，滿足這在計(jì)算上是基于橢圓曲線離散問題的。而假如看守W arden沒有使用 ，即第1步生成的第4步Alice利用可以檢測(cè)到是否使用了因此W arden也無(wú)法建立“布谷鳥”信道。

需要說明的是，該協(xié)議要求k'k"不能重復(fù)使用，因?yàn)榈诙问褂迷撔诺罆r(shí)，Alice或看守W arden由于掌握首次簽名部分信息能有建立窄帶閾下信道的可能。

6 結(jié)束語(yǔ)

該方案令看守參與簽名的生成,確保會(huì)話密鑰的隨機(jī)性，封閉了窄帶和寬帶閾下信道；但看守由于沒有偽造簽名的能力,從而實(shí)現(xiàn)了對(duì)布谷鳥信道的封閉；從而在保證簽名者的簽名權(quán)力的前提下,簽名由看守最終生成，成功阻止簽名者生成失敗終止式信道。同時(shí)，該協(xié)議完成僅需要發(fā)送者和看守之間進(jìn)行三次交互，而且都是數(shù)乘運(yùn)算，因此協(xié)議通信量小，實(shí)現(xiàn)簡(jiǎn)單，可以說以很小的代價(jià)實(shí)現(xiàn)了對(duì)因隨機(jī)會(huì)話密鑰而引入閾下信道的完全封閉。

[1]G.J.Simmons.The Prisoner’s Channel and the Sublim inal Channel[C],Proceedings of CRYPYO’83.Plenum Press,1984:51- 67.

[2]張秋余,孫戰(zhàn)輝.橢圓曲線數(shù)字簽名中閾下信道通信研究[J].計(jì)算機(jī)應(yīng)用,201030(1):196- 197

[3]祁明,隆益民,卓光輝.封閉閾下信道的若干新型簽名方案[J].計(jì)算機(jī)工程與應(yīng)用,2000(6):22- 24.

[4]朱有根.抗閾下信道的盲簽名方案[J].寧波大學(xué)學(xué)報(bào)（理工版）,2002,15(2):62- 63.

[5]董慶寬,張串絨,肖國(guó)鎮(zhèn).數(shù)字簽名中的閾下信道封閉協(xié)議[J].西安電子科技大學(xué)學(xué)報(bào)（自然科學(xué)版）,2004,31(1):87- 90.

[6]張彤,楊波,王育民李真富.封閉閾下信道的若干方法[J].通信學(xué)報(bào),2002,23(4):17- 21.

[7]李恕海,王育民.封閉閾下信道的理論模型[J].中山大學(xué)學(xué)報(bào)，2004，43suppl(2):34- 37.

[8]謝瑜華.閾下信道封閉和檢測(cè)技術(shù)研究[D].長(zhǎng)沙:湖南大學(xué),2009:27- 29.