一類前向安全簽名方案的安全性分析

胡江紅

（寶雞文理學院 數學系，陜西 寶雞 721013）

1996年，Maobo[1]等人提出了一種特殊的數字簽名——代理簽名，這種形式的簽名一經提出便受到廣泛關注。代理簽名是指原始簽名人將自己的簽名權利委托給代理簽名人，由于某種原因不能進行簽名時，代理簽名人可以代表原始簽名者產生有效的簽名.這種簽名可以實現簽名權力的委托，讓可靠的代理者代替他簽名。一般地，一個代理簽名需要滿足五條安全性要求：可區分性，可驗證性，不可偽造性，不可否認性，身份可識別性，但是，在代理簽名方案中存在代理簽名人密鑰泄漏問題，一旦秘鑰泄露，就會導致攻擊者偽造代理簽名，代理簽名密鑰所產生的所有代理簽名將變成無效。1997年，R.Anderson[2]首次提出了前向安全的概念，前向安全理論可以有效地減少因密鑰泄漏帶來的安全問題，是目前密碼學研究的熱點。所謂前向安全簽名是把密鑰的有效期分成T個時段，在每個時段使用不同的簽名密鑰進行簽名，而整個密鑰周期里公鑰保持不變，這樣即使當前時段的密鑰泄露，由于攻擊者無法推斷以前時段的簽名密鑰，因而不能偽造過去時段里的任何簽名，也就不會影響以前時段所產生的簽名的有效性。隨著前向安全性的提出和實際應用的需要，將前向安全性和其他特殊數字簽名如盲簽名，代理簽名，環簽名等相結合，學者們提出了很多特殊的前向安全數字簽名方案[3-7]。同時前向安全的概念在電子貨幣系統，秘鑰交換協議等方面也有著重要的應用。但是，目前很多前向安全代理簽名方案是不安全的，并不具備真正意義上的前向安全性，比如，劉亞麗[8]等人對基于模m的n方根的前向安全數字簽名方案進行分析，指出文獻[4，6-7]都是不安全的，不能抵抗偽造攻擊，并且簽名不具有前向安全性.本文通過對夏祥勝等人[9]，王勇兵等人[10]，王玲玲等人[11]和彭仁杰等人[12]提出的前向安全簽名方案進行分析，發現這些方案也是不安全的，一旦代理簽名人的簽名私鑰泄露，就不能抵抗偽造攻擊，簽名就不具有前向安全性，并總結了這些簽名方案不安全的原因。

1 對夏祥勝等人所提方案的安全性分析

具體簽名方案請參見文獻[9]。該方案是一個前向安全的有代理的廣播多重代理簽名方案，在該方案中，若第j周期的密鑰 xi，j，σi，j被泄露， 攻擊者也無法知道第 j周期以前的密鑰，所以簽名密鑰具有前向安全性。但是我們通過分析發現該方案不能抵抗偽造攻擊，方案的簽名并不具備前向安全性。 若簽名者第 j周期的簽名密鑰 xi，j，σi，j被泄露，攻擊者就可以利用 xi，j，σi，j偽造任意周期的有效簽名（j，m，si，j，ri，j），從而簽名不具備前向安全性。具體過程如下：

若攻擊者獲得了第 j周期的簽名密鑰 xi，j，σi，j， 由于 j，si，j，ri，j，Rj都可以從公開信道中獲取，所以攻擊者想要利用第j周計算第 t周期的簽名時，根據密鑰進化算法mod q－1 可 以 得 到 ：此時簽名密鑰是一個和周期 j無關的常數，所以不同周期求出的簽名si，j也和時段j無關，故最終的簽名也和周期j無關。因此攻擊者一旦獲得某一周期j的簽名密鑰 xi，j，σi，j，就可以根據成功偽造出任意周期t的簽名，并可以通過驗證。所以該方案的簽名不具備前向安全性。

另外，跟這個方案類似，文獻[9]中還給出了一個前向安全的有代理的有序多重簽名方案，簽名式子中簽名私鑰依然是一個與周期j無關的常數，從而也不具有前向安全性，這里不再詳述。

2 對王勇兵等人所提方案的安全性分析

具體簽名方案請參見文獻[10]。該方案是一個前向安全的匿名代理簽名方案，雖然利用模二次剩余困難問題改進了代理私鑰的生成，但依然存在安全漏洞，不能抵抗偽造攻擊，若簽名者第i時段的密鑰xi被泄露，攻擊者包括原始簽名人A 就可以利用 xi偽造任意時段的有效簽名（m，IDA，T，e′，s′），從而簽名不具備前向安全性。具體過程如下：

若攻擊者獲得了第 i時段的密鑰 xi，由于 mw，rA，IDA，δA都可以從公開信道中獲取，所以攻擊者想要通過第i時段的簽名得到第j時段的簽名，只需要知道第j時段代理簽名私鑰，根據密鑰進化算法 x=i，從而是一個與時段i無關的常數，即簽名私鑰xp是一個和時段i無關的常數，所以不同時段求出的簽名s=k－expmod p－1也和時段i無關，故最終的簽名驗證也和時段i無關。因此，攻擊者一旦獲得某一時段 i的簽名密鑰 xi，就可以根據成功得到任意時段 j的代理簽名私鑰1從而成功偽造出任意時段j的有效簽名，并可以通過驗證。所以該方案的簽名不具備前向安全性。

3 對王玲玲等人所提方案的安全性分析

具體簽名方案請參見文獻[11]。該方案是一個標準模型下基于雙線性對的前向安全環簽名方案，方案聲稱即使當前時段的簽名密鑰泄露，敵手也不能偽造先前的簽名，但通過分析發現，事實并非如此，該方案不能抵抗偽造攻擊。如果攻擊者獲得了第 j（1≤j≤T）時段的簽名密鑰 xs，j和 ys，j，即可偽造任意時段的有效簽名，簽名不具備前向安全性。具體過程如下：

不妨設系統進入到了第 t（1≤t≤j）個時段，攻擊者想代表群體對消息m進行偽造簽名，在環簽名階段，由于σi，P，R都可以從公開信道中獲取，所以攻擊者想要通過第j（1≤j≤T）時段的簽名私鑰得到第 t（1≤t＜j）時段的簽名，只需要通過第 t（1≤t＜j）時段的簽名私鑰 xs，t，ys，t計算最終的簽名 σs=（1/所以簽名中的都是一個常數，說明不同時段求出的簽名都與時段j無關，驗證等式e（P，R）也和時間段j也無關。因此，攻擊者一旦獲得了第j（1≤j≤T）時段的簽名密鑰 x和 y，就可以根據

s，js，jmod N和mod N成功偽造任意時段t的有效簽名，并可以通過驗證。所以該方案的簽名也不具備前向安全性。

4 對彭仁杰等人所提方案的安全性分析

具體簽名方案請參見文獻[12]。該方案是一個基于Euler準則的前向安全數字簽名方案，方案也稱即使當前的簽名密鑰泄露了，攻擊者得不到此前的各階段簽名密鑰的任何信息，也不能偽造前階段的簽名。但通過分析發現，該方案并不能抵抗攻擊者的偽造攻擊，簽名不滿足前向安全性。具體過程如下：

若攻擊者獲得了第i時段的簽名密鑰si，攻擊者就可以偽造任意時段的有效簽名，不妨設系統進入到了第j時段，攻擊者按照簽名過程計算：Pm=H（m||ppub）隨機選取，計算R=rP， 并利用第 i時段的簽名密鑰 si計算，由于R∈E（FP），S′∈E（FP），不妨設R=（Rx，Ry），S′=（），則（j，就是在第j時段對消息m的偽造簽名。驗證如下：

根據以上分析可得，攻擊者一旦獲得了簽名者第i時段的簽名密鑰si，就可以成功偽造任意j時段的有效簽名，所以該簽名方案的簽名不具備前向安全性。

5 方案不安全的原因分析

綜上所述，這幾個前向安全簽名方案均存在安全隱患，都不能抵抗偽造攻擊，雖然密鑰進化具有前向安全性，但是簽名并不具有前向安全性，主要原因如下：

2）兩個方案中，最后的簽名驗證等式都與具體時段無關，使得時段參數不是一個有效的參數。

其實，有學者已經指出目前很多前向安全簽名方案都不滿足前向安全性，比如文獻[4－7，11]都相繼被指出是不安全的，所以，在實際應用中，我們設計前向安全代理簽名方案時應注意避免出現此類安全隱患，使方案具有真正意義上的前向安全性。

6 結束語

本文對幾種前向安全的簽名方案的安全性進行了深入討論，通過分析發現這幾個簽名方案都存在安全漏洞，不能抵抗偽造攻擊，最終的簽名并不具有前向安全性。因此，設計具有真正意義上的安全高效的前向安全簽名方案依然具有很大的研究價值。

[1]Mambo M，Usuda K，Okamoto E.Proxy signatures for delegating signing Operation[C]//Proceedings of the 3th ACM Conference on Computer and Communications Security，ACM Press，1996:48-57.

[2]Anderson R.Two remarks on public key cryptology[C]//Invited lecture In:Forth Annual Conference on computer and communications Security，ACM，1997.

[3]Lin WD，JAN JK.A security personal learning tools using a proxy blind signature scheme[C]//Proceedings of International Conference on Chinese Language Computing.USA:Chinese language computer society knowledge systems institute，2000:273-277.

[4]譚作文，劉卓軍.一個前向安全的強代理簽名方案[J].信息與電子工程，2003，1（4）:257-259.TAN Zuo-wen，LIU Zhuo-jun.A forward secure strong proxy signature scheme[J].Information and Electronic Engineering，2003，1（4）:257-259.

[5]周萍，何大可.兩種具有前向安全性的代理盲簽名方案[J].計算機工程與應用，2012，48（5）:51-53.ZHOU Ping，HE Da-ke.Proxy blind signature schemes with forward secure property[J].Computer Engineering and Applications，2012，48（5）:51-53.

[6]肖紅光，譚作文.一種前向安全的代理盲簽名方案[J].通信技術，2009，42（5）:193-196.XIAO Hong-guang，TAN Zuo-wen.A forward proxy blind signature scheme[J].Communication Technology，2009，42（5）:193-196.

[7]王曉明，陳火炎，符方偉，等.前向安全的代理簽名方案[J].通信學報，2005，26（11）:38-42.WANG Xiao-ming，CHEN Huo-yan，FU Fang-wei，et al.Forward secure proxy signature scheme[J].Journal of Communications，2005，26（11）:38-42.

[8]劉亞麗，秦小麟，殷新春，等.基于模m的n方根的前向安全數字簽名方案的分析與改進[J].通信學報，2010，31（6）：82-88.LIU Ya-li，QIN Xiao-lin，YIN Xin-chun，et al.Analysis and improvement for forward security digital signature schemes based on n-th root modulem[J].Journal of Communications，2010，31（6）:82-88.

[9]夏勝祥，耿永軍，洪帆，等.前向安全的有代理的多重數字簽名方案[J].小型微型計算機系統，2009，5（5）:854-858.XIA Shen-xiang，GENG Yong-jun，HONG Fan，et al.Forward secure multisignature with proxy signature scheme[J].Journal of Chinese Computer Systems，2009，5（5）:854-858.

[10]王勇兵，張建中.一種前向安全的匿名代理簽名方案[J].計算機工程與應用，2006，25:133-135.WANG Yong-bing，ZHANG Jian-zhong.A forward secure anonymous proxy signature scheme[J].Computer Engineering and Applications，2006，25:133-135.

[11]王玲玲，張國印，馬春光.標準模型下基于雙線性對的前向安全環簽名方案[J].電子與信息學報，2009，31（2）:448-452.WANG Ling-ling，ZHANG Guo-yin，MA Chun-guang.A forward-secure ring signature scheme based on bilinear pairing in standard model[J].Journal of Electronics&Information Technology，2009，31（2）:448-452.

[12]彭仁杰，楊小東.基于Euler準則的前向安全數字簽名方案[J].計算機應用與軟件，2009，26（4）:260-261.PENG Ren-jie，YANG Xiao-dong.A forward secure digital signature scheme based on Euler’s criterion[J].Computer Applications and Software，2009，26（4）:260-261.