強指定驗證者代理簽名的密碼學分析及改進

張妮，奚雪峰，吳俊

（蘇州科技學院電子與信息工程學院，江蘇蘇州215009）

強指定驗證者代理簽名的密碼學分析及改進

張妮，奚雪峰，吳俊

（蘇州科技學院電子與信息工程學院，江蘇蘇州215009）

對文獻[12]提出的一個強指定驗證者代理簽名方案進行了安全性分析，指出該方案存在安全缺陷，不誠實的代理簽名人能夠恢復(fù)出原始簽名人的私鑰，從而能偽造原始簽名人的簽名或授權(quán)。在原方案的基礎(chǔ)上提出了一個改進的強指定驗證者代理簽名方案，并對新方案的安全性和有效性進行了分析。結(jié)果表明：新方案滿足可驗證性和不可偽造性。

強指定驗證者；代理簽名；不可偽造性

代理簽名（Proxy Signatures）的概念是在1996年由文獻[1]首先提出的，代理簽名是指原始簽名人可將其簽名權(quán)力委托給代理簽名人，代理簽名人就可以代替原始簽名人行使簽名權(quán)，在電子商務(wù)、移動通信等領(lǐng)域有很好的應(yīng)用，受到國內(nèi)外密碼研究者的關(guān)注，文獻[2-8]相繼提出了一些代理簽名方案。在這些代理簽名方案中，任何能得到原始簽名人和代理簽名人公鑰的人都能對簽名消息的有效性進行驗證，然而，當簽名的消息是一些比較敏感的信息時，原始簽名人希望只有他指定的驗證者才能驗證簽名的有效性，防止這些敏感信息被泄露。文獻[9]首次提出了能指定驗證者的簽名方案。結(jié)合代理簽名的概念，文獻[10-14]提出了一些能指定驗證者的代理簽名方案。這種代理簽名方案中代理簽名人不能追蹤其簽名的消息，簽名的消息內(nèi)容只有簽名者和其指定的驗證者能查看，且只有被指定的驗證者才能驗證簽名的有效性。然而，經(jīng)過對文獻[12]提出的強指定驗證者代理簽名方案（以下簡稱X-W方案）安全性分析，發(fā)現(xiàn)該方案存在安全缺陷，不誠實的代理簽名人能夠恢復(fù)出原始代理簽名人的私鑰，從而能偽造原始簽名人的簽名或授權(quán)，做原始簽名人所能做的一切事情。文中針對X-W方案的安全缺陷，提出了新的能指定驗證人的代理簽名方案，解決原方案存在的安全漏洞。

1 X-W方案

1.1 系統(tǒng)設(shè)置

私鑰生成中心PKG選取橢圓曲線上階為q的加法循環(huán)群G1，其生成元是p，橢圓曲線上階為q的乘法循環(huán)群G2，并隨機選擇s∈Zq*作為系統(tǒng)主密鑰，計算Ppub=sP作為系統(tǒng)公鑰，令H1：G1×｛0，｝1*→Zq*， H2：，為密碼學單向哈希函數(shù)，PKG公開系統(tǒng)的參數(shù)為params={G1，G2，e，q，P， Ppub，H1，H2，H3}。

1.2 秘密鑰的提取

原始簽名者A，代理簽名者B，指定驗證者C分別向私鑰生成中心PKG提交自己的身份IDA、IDP、IDC，則其公鑰分別為QIDA=H2（IDA），QIDP=H2（IDP），QIDC=H2（IDC）。PKG驗證其身份，若身份相符，分別計算A、B、C的私鑰SIDA=sQIDA，SIDP=sQIDP，SIDA=sQIDC，并通過安全信道分別發(fā)給A、B、C。

1.3 方案的過程

（1）原始簽名者A用他的私鑰對授權(quán)信息mw（包括代理簽名者的身份ID、簽名授權(quán)的有效期限、需要簽名的信息范圍）進行簽名，A隨機選取k∈Zq*計算R=kp，V=H3（mw，QIDP，R），Sw=VSIDA然后將簽名對（mw，R，Sw）通過安全信道返回給B。

（2）B接收到A的簽名之后，計算V=H3（mw，QIDP，R），并驗證e（Sw，P）=e（VQIDP，Ppub）的有效性。代理簽名者B計算代理密鑰對為Spw=Sw+SIDP，Qpw=VQIDP+QIDP，其中Spw，Qpw分別是B的私鑰，公鑰。

（3）B計算r=e（QIDc，Spw），則生成的簽名為δ=H1（mp，r），然后將此簽名發(fā)給C。

（4）C接收到簽名之后，通過驗證δ=H1（mp，e（VQIDP，SIDc））是否成立時，若等式成立，則接受此簽名。否則，拒絕簽名。

（5）C選擇消息m模擬指定驗證者的代理簽名生成另一個簽名，通過計算r′=e（Qpw，SIDc），則生成的簽名為δ′=H1（mp，r′）。顯然，δ′=H1（m，e（Qpw，SIDc）），驗證通過。

2 X-W方案的安全性分析

2.1 安全性分析

在原方案中，原始簽名人A先計算了V=H3（mw，QIDP，R）和其簽名之后，將（mw，R，Sw）發(fā)送給代理簽名人B。代理簽名人B獲得了mw和R，由于QIDP、H3是公開的，代理簽名人B首先計算出V=（mw，QIDP，R）（注：H3：｛0，｝1*→Zq*，所以V∈Zq*），然后計算出H3（mw，QIDP，R）的逆H3（mw，QIDP，R）-1∈Zq*。最后，代理簽名人B從原始簽名人A發(fā)給他的簽名（mw，R，Sw）中提取出Sw∈G1后，就能計算出H3（mw，QIDP，R）-1Sw=SIDA

2.2 對X-W方案算法的攻擊

假設(shè)B*是一個不誠實惡意的代理簽名人，他可以隨意改變授權(quán)證書W的內(nèi)容，濫用簽名權(quán)，通過以下步驟偽造一個原始簽名人A無法否認的有效代理簽名：（1）原始簽名者A對授權(quán)信息mw進行簽名。A計算一個短簽名Sw=VSIDA，然后將（mw，R，Sw）發(fā)送給B*；（2）B*驗證e（Sw，P）=e（VQIDA

，Ppub）是否成立，若成立B*計算：H3（mw，QIDP，R）-1∈Zq*，進而計算出；（3）B*隨意產(chǎn)生授權(quán)信息，進而計算出代理簽名密鑰Spw=Sw+SIDP。

接下來，不誠實惡意的代理簽名人B*利用代理密鑰Spw，執(zhí)行代理簽名算法計算出對任意消息m′的代理簽名δ=H1（m′，r）。由于

簽名δ=H1（m′，r）可以通過驗證者的驗證。

由此可見，原始簽名者A把代理授權(quán)參數(shù)（mw、QIDP、Sw）秘密傳遞給代理簽名者，不誠實的代理簽名者B*可以隨意更改代理授權(quán)信息mw的內(nèi)容，在任何時候?qū)θ魏畏欠ㄐ畔⑦M行代理簽名，而接受者通過驗證將認為該簽名有效，這嚴重侵害了原始簽名人的利益。

3 改進的方案

為了克服上述的安全缺陷，原始簽名者A在生成代理密鑰時，應(yīng)嚴格保護自己的私鑰。筆者在尊重原方案的基礎(chǔ)上，對原方案作了改進。其中系統(tǒng)設(shè)置和密鑰的提取同原方案。具體過程如下：

（1）原始簽名者A用他的私鑰對授權(quán)信息mw（包括代理簽名者的身份ID、簽名授權(quán)的有效期限、需要簽名的信息范圍）進行簽名，A隨機選取k∈Zq*計算然后將簽名對（mw，R，Sw）通過安全信道返回給B；（2）B接收到A的簽名之后，計算，并驗證的有效性。即計算

若簽名有效，代理簽名者B計算出代理秘鑰Spw=Sw+SIDP和公鑰Qpw=VQIDA＋QIDP+R，否則，終止代理過程；（3）代理簽名者B計算r=e（QIDc，Sw），則生成的最終簽名為δ=H1（m，r），然后將此簽名發(fā)給指定驗證者C；（4）指定驗證者C接收到代理簽名之后，驗證δ=H1（m，e（Qpw，SIDc））是否成立，若成立，則接受此簽名，否則拒絕；（5）指定驗證者C選擇消息m模擬指定驗證者的代理簽名生成另一個簽名，通過計算r′=e（Qpw，SIDc），生成簽名δ′=H1（m，r′）。

4 改進后方案的安全性分析

4.1 正確性

只需驗證r是否等于e（SIDc，Qpw），如果相等，則有δ=H1（m，e（Qpw，SIDc））=H1（m，r），說明簽名是正確。驗證過程如下因此，δ＝H1（m，e（QIDc，Spw））=H1（m，e（Qpw，SIDc））=H1（m，r）。代理簽名者B生成的簽名δ=H1（m，r）總能被指定驗證者C接受。改進后的代理簽名方案是正確的。

4.2 安全性

4.2.1 可驗證性對于消息m，必須通過計算δ=H1（m，e（Qpw，SIDc））來驗證簽名的正確性，驗證過程除了指定驗證者C的私鑰SIDc其他參數(shù)都是公開的，指定驗證者C通過驗證等式e（QIPC，Spw）=e（Qpw，SIDc），從而驗證簽名的有效性。而且從授權(quán)信息mw中可以獲知原始簽名人A對所簽的消息是認可的。

4.2.2 不可為造性除了PKG指定驗證者C之外，任何人都不可能對消息m偽造一個有效的簽名。攻擊者想要得到代理簽名的私有密鑰Spw=Sw+SIDP，必須獲得SIDP，他需要知道s。s被PKG秘密保存，通過Ppub=sP得到s相當于求解離散對數(shù)問題DLP。普通攻擊者不知道原始簽者A的私有密鑰和代理簽名者B的私有密鑰SIDP，無法計算出Sw，更不能計算出代理密鑰Spw，因此，也就無法偽造代理簽名。原始簽名者A不知道代理簽名者B的私有密鑰SIDP，無法計算代理密鑰Spw，也無法偽造消息m的代理簽名。代理簽名者B不知道原始簽名者A的私有密鑰（k，SIDA），想從等式中解出k相當于求橢圓曲線的離散對數(shù)問題，因此，他無法計算出Sw，也就無法偽造原始簽名者A的授權(quán)。因此，只有代理簽名者B才能產(chǎn)生有效的代理簽名，原始簽名者A和沒有被指定為代理簽名人的任何第三方，都不能產(chǎn)生，更不能偽造一個有效的代理簽名。

4.2.3 不可否認性代理簽名者B生成代理簽名密鑰Spw，密鑰Spw中有代理簽名者B的私鑰SIDP，除了B，其他任何人都無法得到B的私鑰SIDP，因此，一旦代理簽名者B完成了對消息的有效簽名后，他就不能否認自己的簽名。

4.3 效率分析

有關(guān)符號的定義參照X-W方案（|p|=1 024 bits，|q|= 160 bits）。經(jīng)分析，改進方案只在驗證階段增加了1|p|=1 024 bits，而代理密鑰生成和代理簽名的計算復(fù)雜度與X-W方案一致。因此，改進方案的簽名長度為|p|+|q|，而文獻[15]的簽名是（rp，c，s，t），其中，c，s，t∈Zq*，rp∈Zq*，簽名長度為3|q|+|p|。改進方案雖然比X-W方案的簽名長度長，但仍比文獻[15]方案的簽名長度短，且安全性得到了提高。分析結(jié)果見表1。

表1 不同方案的性能比較

5 結(jié)語

針對文獻[12]提出的基于身份的強指定驗證者代理簽名方案進行了安全性分析，通過對該方案的攻擊，發(fā)現(xiàn)一個不誠實惡意的代理簽名人可以偽造一個原始簽名人無法否認的有效代理簽名，可以在任何時候?qū)θ魏畏欠ㄐ畔⑦M行代理簽名，該簽名能通過接受者的驗證，侵害了原始簽名人的利益。為了克服上述的安全缺陷，在尊重原方案的基礎(chǔ)上，對原方案做了改進，代理簽名人可以代表原始簽名人對消息進行簽名，只有指定的驗證者能驗證代理簽名的有效性，保證了消息的可認證性和數(shù)據(jù)的完整性。經(jīng)分析表明，改進方案能具有簽名的可驗證性和不可偽造性，且效率也較高。

[1]Mambo M，Usuda K，Okamoto E.Proxy signatures：delegation of the power to sign messages[J].IEICE Transactions on Fundamentals of Electronics，Communications and Computer Sciences，1996，E79-A（9）：1338-1354.

[2]Du Hongzhen，Wen Qiaoyan.Efficient certificateless designated verifier signatures and proxy signatures[J].Chinese Journal of Electronics，2009，18（1）：95-100.

[3]陳海濱，楊曉元，梁中銀，等.一種無證書的前項安全代理簽名方案[J].計算機工程，2010，36（2）：156-157，160.

[4]余磊.一種基于格的代理簽名方案[J].計算機工程，2013，39（10）：123-126.

[5]YANG Changhai.Analysis and improvement of two certificateless proxy signature schemes[J].Computer Engineering and Applications，2011，47（15）：101-103.

[6]張建中，魏春艷.一種新的無證書代理簽名方案[J].計算機工程，2010，36（10）：168-169.

[7]申軍偉，楊曉元，梁中銀，等.一種新的無證書代理簽名方案的分析與改進[J].計算機工程與應(yīng)用，2010，46（8）：96-98.

[8]崔濤，劉培玉，王珍，等.前向安全的指定驗證者（t，n）門限代理簽名方案[J].小型微型計算機系，2014，35（5）：1055-1060.

[9]Jacobson M，Sako K，Impagliazzo K R.Designated verifier proofs and their applications[C]//Proc of EUROCRYPT’96.[S.l.]：Springer-Verlag，1996：143-154.

[10]Dai Jiazhu，Yang Xiaohu，Dong Jinxiang.Designated receiver proxy signature scheme for electron commerce[C]//Proc of IEEE International Conference on Systems，Man and Cinematic.[S.l.]：IEEE Press，2003：384-389.

[11]Wang Guilin.Designated verifier proxy signatures for ecommerce[C]//Proc of IEEE International Conference on Multimedia and Expo Piscataway，USA：IEEE Press，2004.

[12]向新銀，王曉峰，王尚平，等.新的基于身份的強指定驗證者代理簽名方案[J].計算機工程與應(yīng)用，2007，43（1）：130-131.

[13]梁景玲，高德智，張云，等.一種具有指定驗證者的高效代理簽名方案[J].計算機工程，2012，38（7）：105-106.

[14]崔濤，劉培玉.前向安全的指定驗證者代理簽名方案[J].計算機工程，2013，39（4）：177-179.

[15]Wang G.Designated-verifier proxy signature schemes[C]//Security and Privacy in the Age of Ubiquitous Computing（IFIP/SBC 2005），2005：409-423.

Cryptanalysis and improvement of strongly designated verifier proxy signature scheme

ZHANG Ni，XI Xuefeng，WU Jun
（School of Electronic&Information Engineering，SUST，Suzhou 215009，China）

Through security analysis of strongly designated verifier proxy scheme proposed by Xiang et al，we found that their scheme had security leaks.The proxy signer can recover the original signer's private key and forge the signing capabilities of the original signer.On the basis of their scheme，we proposed an improved strongly designated verifier proxy signature scheme and analyzed its security and efficiency.The result shows that this improved scheme can satisfy the verifiability and unforgeability.

strongly designated verifier；proxy signature；unforgeability

TP309

A

1672－0687（2015）03－0056－04

責任編輯：艾淑艷

2014－11－03

蘇州科技學院院科研基金資助項目（341111607）

張妮（1977-），女，陜西渭南人，講師，碩士，研究方向：信息安全與密碼學。