標(biāo)準(zhǔn)模型下2種基于身份的環(huán)簽名的安全性分析

周強(qiáng)勝,李 虓,何明星,杜亞軍

(西華大學(xué)數(shù)學(xué)與計(jì)算機(jī)學(xué)院,四川 成都 610039)

1984年，Shamir[1]首先提出基于身份的公鑰密碼機(jī)制。在該機(jī)制中，用戶的身份信息(如身份證號(hào)碼、家庭住址等)作為用戶的公鑰，用戶的私鑰由私鑰生成中心(PKG)生成，從而有效地解決了傳統(tǒng)公鑰體制下的公鑰證書的管理和運(yùn)算的問題。

隨著電子商務(wù)、電子政務(wù)的廣泛應(yīng)用，用戶的隱私保護(hù)越來越受到重視。環(huán)簽名是一種保護(hù)簽名者隱私的密碼學(xué)原語。2001年，Riverst等[2]首次提出環(huán)簽名概念。因?yàn)榄h(huán)簽名的簽名有一定的規(guī)則性且類似于環(huán)狀，故命名為環(huán)簽名。通過環(huán)簽名技術(shù)，合法的簽名者可以不征求環(huán)中其他成員的同意而隨機(jī)地選擇環(huán)成員，并用自己的私鑰和其他環(huán)成員的公鑰對(duì)選擇的任何消息進(jìn)行簽名。驗(yàn)證者可以驗(yàn)證環(huán)簽名的有效性，但是不能確定具體簽名者的身份。和群簽名相比較，環(huán)簽名沒有群管理員，沒有組織過程和撤銷程序，而且簽名者的身份是無條件匿名的。

2002年，Zhang等[3]首次利用雙線性對(duì)構(gòu)造了基于身份的環(huán)簽名方案； 2006年，Au等[4]提出了標(biāo)準(zhǔn)模型下基于身份的環(huán)簽名方案，并給出了相應(yīng)的安全性證明。2008年，張躍宇等[5]改進(jìn)了文獻(xiàn)[4]的方案并提出了一種新方案，該方案在通信和計(jì)算效率上有較大提高。同年，王化群等[6]發(fā)現(xiàn)文獻(xiàn)[4]提出的方案是不安全的，并給出了2種攻擊方法及改進(jìn)方案。2009年，劉振華等[7]在文獻(xiàn)[4-5]的基礎(chǔ)上，提出一種新的標(biāo)準(zhǔn)模型下基于身份的環(huán)簽名方案，該方案在通信和計(jì)算效率上也有較大提高，但依然不安全。程文華等[8]對(duì)文獻(xiàn)[5]提出的方案進(jìn)行了攻擊并給出了改進(jìn)方案。改進(jìn)方案雖然在安全性上有所提高，但在驗(yàn)證時(shí)雙線性對(duì)的運(yùn)算與環(huán)成員的個(gè)數(shù)成正比，計(jì)算效率較低。2012年，葛愛軍等[9]提出一種標(biāo)準(zhǔn)模型下固定長度的基于身份的環(huán)簽名方案，該方案只需要3個(gè)雙線性對(duì)運(yùn)算，占用通信帶寬低，計(jì)算效率較高。

文獻(xiàn)[8]聲稱他們的改進(jìn)方案在環(huán)簽名的最強(qiáng)安全模型下是安全的；文獻(xiàn)[9]也聲稱他們的方案能抵抗適應(yīng)性選擇消息的偽造攻擊。本文對(duì)文獻(xiàn)[8-9]中的環(huán)簽名方案的安全性進(jìn)行密碼學(xué)分析后發(fā)現(xiàn)，文獻(xiàn)[8]的方案不能抵抗存在性偽造攻擊，文獻(xiàn)[9]的方案不能抵抗多已知簽名存在偽造攻擊和環(huán)成員改變偽造攻擊。本文給出具體的偽造攻擊方法來說明文獻(xiàn)[8-9]的方案不滿足環(huán)簽名的不可偽造性。

1 預(yù)備知識(shí)

1.1 雙線性對(duì)

雙線性對(duì)[10-12]是指具有下列性質(zhì)的一個(gè)映射：e:G1×G1→G2(假設(shè)G1和G2是2個(gè)階為素?cái)?shù)p的乘法循環(huán)群，G1的一個(gè)生成元是g)。

1)雙線性：對(duì)任意的a,b∈Zp，所有的g1,g2∈G1，有e(g1a,g2b)=e(g1ab,g2) =e(g1,g2ab)=e(g1,g2)ab。

2)非退化性：存在g1∈G1，使得e(g1,g1)≠1。

3)可計(jì)算性：對(duì)所有的g1,g2∈G1，存在有效的算法來計(jì)算e(g1,g2)。

1.2 環(huán)簽名模型(基于身份)

該模型主要由4種算法組成。

1)系統(tǒng)建立階段：PKG輸入安全參數(shù)?，輸出系統(tǒng)參數(shù)Params以及主密鑰k。PKG 保密主密鑰k，公開系統(tǒng)參數(shù)Params。

2)私鑰生成階段：PKG輸入系統(tǒng)參數(shù)Params、用戶的身份Ij以及主密鑰k，輸出用戶身份Ij以及用戶對(duì)應(yīng)的私鑰sj，并將用戶的私鑰sj安全地發(fā)送給用戶。

3)簽名階段：用戶輸入系統(tǒng)參數(shù)Params、用戶身份R、私鑰sj和待簽消息M，輸出R關(guān)于M的環(huán)簽名σ。

4)驗(yàn)證階段：驗(yàn)證者輸入系統(tǒng)參數(shù)Params、用戶身份R、已簽消息M和環(huán)簽名σ，輸出1或0。

1.3 環(huán)簽名的不可偽造性安全模型

該模型主要分為3類[9]：Model1、Model2和Model3。從Model1到Model3它們的安全性是依次增強(qiáng)的。 Model1忽略了環(huán)成員的改變攻擊和多已知簽名存在偽造攻擊的情況； Model2雖然將環(huán)成員的改變攻擊考慮在內(nèi)，但是忽略了多已知簽名存在偽造攻擊的情況； Model3將這2種攻擊方法都進(jìn)行了考慮。

2 G-M-ZH-CH方案及其安全性分析

2.1 G-M-ZH-CH方案

2012年，葛愛軍等[9]提出一種標(biāo)準(zhǔn)模型下固定長度的基于身份環(huán)簽名方案，這里簡記為G-M-ZH-CH方案。其具體描述如下。

簽名算法：令R={ID1,ID2,…,IDk}為環(huán)簽名中所包含的k(k≤n)個(gè)身份列表，假定真實(shí)簽名者身份為IDs(s為1,2，…,k中的任意一位成員)，對(duì)消息M=(M1,M2,…,Mm)∈{0,1}m進(jìn)行簽名如下。

3)輸出對(duì)消息M的簽名σ=(σ1,σ2,σ3)。

2.2 G-M-ZH-CH方案的安全性分析

G-M-ZH-CH方案[9]聲稱該方案安全性強(qiáng)，對(duì)適應(yīng)性選擇消息攻擊是存在性不可偽造的，但通過分析，筆者發(fā)現(xiàn)該方案并不滿足環(huán)簽名的不可偽造性。G-M-ZH-CH方案在構(gòu)造時(shí)忽略了多已知簽名存在偽造攻擊以及環(huán)成員的改變攻擊等情況。在雙線性計(jì)算n-DHE困難問題假設(shè)下，G-M-ZH-CH方案給出了存在性不可偽造證明，但其安全模型并沒有考慮到這2種攻擊。這就導(dǎo)致了雖然方案的不可偽造性證明可以規(guī)約為在雙線性計(jì)算n-DHE困難問題假設(shè)下，但實(shí)際上該方案仍不能抵抗多已知簽名存在偽造攻擊和環(huán)成員的改變偽造攻擊。攻擊者在得到消息M的環(huán)簽名后可以偽造出該消息的新的環(huán)簽名，以及一個(gè)環(huán)成員可以對(duì)任意消息生成一個(gè)不包含自己環(huán)的環(huán)簽名。下面給出這2種具體偽造攻擊方法。

攻擊方法1：G-M-ZH-CH方案不能抵抗多已知簽名存在偽造攻擊，即任何一個(gè)攻擊者在得到環(huán)R關(guān)于消息M的環(huán)簽名σ=(σ1,σ2,σ3)后，可以按照如下方法進(jìn)行偽造攻擊。

顯然,這個(gè)偽造的簽名是合法的。這是因?yàn)?/p>

3 CH-W-H方案及其安全性分析

3.1 CH-W-H方案

2009年，程文華等[8]提出一種改進(jìn)的標(biāo)準(zhǔn)模型下的基于身份的環(huán)簽名方案，這里簡記為CH-W-H方案。其方案具體描述如下。

4)計(jì)算h=Hm(R,m,R1,R2,…,Rn)，S=

5)環(huán)R對(duì)消息m的環(huán)簽名為σ=(S,R1,R2,…,Rn)。

3.2 CH-W-H方案的安全性分析

攻擊者在得到環(huán)R關(guān)于消息m的簽名σ=(S,R1,R2,…,Rn)的情況下，都可以偽造該環(huán)對(duì)任何消息m′的簽名。具體的偽造攻擊如下。

1)攻擊者得到環(huán)R關(guān)于消息m的簽名σ=(S,R1,R2,…,Rn)后，計(jì)算h=Hm(R,m,R1,R2,…,Rn)。

4 結(jié)束語

一種安全的環(huán)簽名方案必須滿足正確性、無條件匿名性、不可偽造性等屬性。本文對(duì)2種標(biāo)準(zhǔn)模型下基于身份的環(huán)簽名方案的安全性進(jìn)行了詳細(xì)分析，發(fā)現(xiàn)它們不滿足環(huán)簽名的不可偽造性，并給出了相應(yīng)的攻擊方法。本文主要考慮了3種偽造攻擊方法： 1)攻擊者在不改變環(huán)成員和消息情況下的偽造攻擊； 2)攻擊者在不改變環(huán)成員的情況下，改變消息的偽造攻擊； 3)環(huán)中合法的用戶選擇一個(gè)不包括自己的環(huán)并對(duì)任意消息的偽造攻擊。提出一些新的能克服上述攻擊方法的標(biāo)準(zhǔn)模型下的環(huán)簽名方案，將是未來研究工作的重點(diǎn)。

[1] Shamir A. Identity-based Cryptosystems and Signature Schemes [C]// Advances in Cryptology-CRYPTO’ 84, LNCS196. Berlin: Springer-Verlag, 1984: 47-53.

[2] Riverst R L, Shamir A, Tauman Y. How to Leak a Secret [C]//Advances in Cryptology ASIACRYPT 2001, LNCS 2248.Berlin: Springer- Verlag, 2001:552-565.

[3] ZHANG F, KIM K. ID-based Blind Signature and Ring Signature from Pairings[C]//Advances in Cryptology-ASIACRYPT 2002，LNCS 2501．Berlin：Springer-Verlag，2002：533-547．

[4] AU M H ，LIU J K，YUEN T H，et al．ID-based Ring Signature Scheme Secure in the Standard Model[C]//IWSEC 2006: The First International Workshop on Security, LNCS 4266. Berlin: Springer-Verlag. 2006: 1-16．

[5] 張躍宇，李暉，王育民．標(biāo)準(zhǔn)模型下基于身份的環(huán)簽名方案[J]. 通信學(xué)報(bào), 2008, 29(4):40-44.

[6] 王化群，于紅，呂顯強(qiáng)．兩個(gè)標(biāo)準(zhǔn)模型中可證安全的環(huán)簽名方案的安全性分析及其改進(jìn)[J]. 通信學(xué)報(bào), 2008, 29(8):57-62.

[7] 劉振華，胡予濮，牟寧波,等．新的標(biāo)準(zhǔn)模型下基于身份的環(huán)簽名方案[J]．電子與信息學(xué)報(bào)，2009, 31(7): 1727-1731.

[8] 程文華，王彩芬，韓亞寧,等．改進(jìn)的標(biāo)準(zhǔn)模型下的基于身份的環(huán)簽名方案[J]．計(jì)算機(jī)應(yīng)用研究，2009, 26(11): 4286-4288.

[9] 葛愛軍, 馬傳貴, 張振峰, 等. 標(biāo)準(zhǔn)模型下固定長度的基于身份環(huán)簽名方案[J]. 計(jì)算機(jī)學(xué)報(bào),2012, 35(9)1874-1880.

[10] LIU J K,WONG D S. On the Security Models of (threshold) Ring Signature Schemes [C]//ICISC2004. Berlin: Spinger-Verlag, 2004, 204-217.

[11] MASSYUKI A B E,OHKUBO M SUZUK K.1-out-n Signatures from a Variety of Keys [J]. IEICE Trans Fundamentals, 2004, E87-A, 131-140.

[12]李偉，唐明偉，范明鈺.標(biāo)準(zhǔn)模型下基于線性的選擇關(guān)聯(lián)可轉(zhuǎn)換環(huán)簽名方案[J].西華大學(xué)學(xué)報(bào)：自然科學(xué)版，2013,32(2)：1-4.