三個前向安全代理簽名方案的安全性分析

曹 欣，魏仕民，卓澤朋

淮北師范大學 數(shù)學科學學院，安徽 淮北 235000

1 引言

代理簽名自1996年由Mambo等人[1]提出以來便受到廣泛關(guān)注。當原始簽名人由于某些原因不能行使簽名權(quán)時可將簽名權(quán)委托給代理簽名人，代理簽名人可以代替原始簽名人對消息進行簽名。代理簽名的有效性是可驗證的。一個代理簽名方案應(yīng)該滿足可區(qū)分性、可驗證性、不可偽造性、不可否認性等安全性質(zhì)[2-4]。但是所有這些當代理簽名人的簽名密鑰泄漏后，他所代理的簽名將不再安全。1997年Anderson[5]首次提出了前向安全的概念。將前向安全的概念引入代理簽名體制可以有效地解決密鑰泄漏所帶來的安全問題。

然而對前向安全的簽名方案進行研究卻發(fā)現(xiàn)，大部分的方案[6-12]都是不安全的。很多方案在代理簽名人的密鑰進化算法或代理簽名密鑰的的設(shè)計上具有前向安全性，但是當密鑰泄漏以后，攻擊者不去計算以前密鑰，也能生成有效的代理簽名，即方案不具有真正的前向安全性。不能抵抗來自原始簽名人的偽造攻擊，而有的即使不知道代理簽名人的任何私有信息也能進行偽造攻擊，前向安全的代理簽名也不再具有前向安全性。而有的代理簽名人則會借此聲稱那些對其不利的代理簽名是別人偽造的簽名，以此來推卸責任。因此，對前向安全的代理簽名方案的研究任重而道遠，設(shè)計出一種具有真正意義上的前向安全代理簽名方案具有很大的研究價值。本文主要對三個前向安全的代理簽名方案進行分析，發(fā)現(xiàn)其不具有前向安全性，當密鑰泄漏后它不能夠抵抗原始簽名人的偽造攻擊。

2 對夏祥勝等人方案的安全性進行分析

2.1 方案回顧

（1）初始化[9]認證中心選擇n=p1p2=(2qp1'+1)×(2qp2'+1)，p1=p2=3mod4，QRn是模n的平方剩余集合，g∈QRn且g的階為q，并且p1，p2，p1'，p2'，q都是安全的大素數(shù)。選擇一個單向安全的Hash函數(shù)和整數(shù)(e，d)，gcd(e，φ(n))=1，ed=1modφ(n)，φ(n)=(p1-1)(p2-1)。公布 (n，q，g，h，e)。A是原始簽名人，身份標識為IDA，私鑰為xA，公鑰為yA=modn。B是代理簽名人，B的身份標識為IDB，私鑰為xB，公鑰為yB=modn。

（2）授權(quán)過程[9]授權(quán)書mw，簽名時間周期是1，2，…，T。代理終止時間是t。A選擇一個隨機數(shù)kA，1≤kA≤n。計算η=modnσ′=(kAη+xAh(mw，η))modq。將 (mw，σ′，η)發(fā)送給B。B驗證等式modn是否成立。若成立則計算初始代理簽名密鑰σ0=(xB+σ′)modn。驗證公鑰。

（3）密鑰進化及代理簽名生成[9]在第i時段(1≤i≤T)代理簽名人B計算σi=σi-12modn，然后刪除σi-1。B隨機選取αi，βi∈[1，n]，計算：，w=gβimodn，u=h(i||m||r||w||mw) ，，s=(αi-βiu)modq，則前向安全代理簽名為 (i，mw，(m，s，z，u，w))。

（4）簽名驗證[9]驗證者V首先判斷簽名是否在有效期，如果在有效期內(nèi)則計算modn，然后再驗證u=h(i||m||r′||w||mw)是否成立。若成立則簽名有效，否則無效。

2.2 對該方案的安全性進行分析

當簽名密鑰σi泄漏后方案不具有前向安全性，不能抵抗原始簽名人的偽造攻擊。攻擊者不去計算σi-1而是利用公鑰進行偽造攻擊。因為是一個固定值，，所以，記。這個時候原始簽名人可以發(fā)起攻擊，有兩種攻擊方法。

攻擊方法一：原始簽名人在時間段j(j＜i)，選取隨機數(shù)αj，令

則偽造的代理簽名為 (j，mw，(m，sj，zj，uj，wj))，可以驗證它是有效的代理簽名。驗證：

所以u′j=h(j||m||rj'||wj||mw)=uj，即攻擊成功。

攻擊方法二：原始簽名人，令

那么偽造的代理簽名為 (j，mw，(m，sj，zj，uj，wj))，它是能通過驗證人驗證的。驗證如下：

所以u′j=h(j||m||rj'||wj||mw)=uj成立，即原始簽名人的偽造攻擊成功。

3 對張曉敏等人方案安全性進行分析

3.1 對方案回顧

（1）系統(tǒng)初始化[10]n=p1p2=(2qp1'+1)(2qp2'+1)，其中p1=p2=3mod4，QRn是模n的平方剩余集合，g∈QRn且g的階為q。p1，p2，p1'，p2'，q都是安全的大素數(shù)，h(·)是安全單向的HASH函數(shù)。xA，xB∈分別是原始簽名人A和代理簽名者B的私鑰，公鑰yA=xA-vmodn，yB=xB-vmodn。系統(tǒng)有效期分為T個周期。

（2）授權(quán)過程[10]A選擇代理終止時間，計算a=modn，公開(，a，IDB)。B如果接受此代理則計算b=gxBmodn并且公布b。A再計算σ=modn，，將Y公布。B計算σ=modn并驗證modn是否成立，若成立則接受此授權(quán)。

（3）代理簽名生成[10]在周期i進行密鑰進化，。然后刪除。B選取隨機數(shù)，r=modn，，z=modn，u=h(i||m||r||z||w||t)，s=(αi-βiv-kiu)modq。則前向安全代理簽名為(i，m，r，s，z，u，t)，t是簽名時間。

（4）簽名驗證[10]首先驗證t是否超過止時間，超過則簽名無效；否則可計算，然后驗證u=h(i||m||w′||r||z||t)是否成立，成立則簽名有效。

3.2 對此方案的安全性進行分析

攻擊者在不知道代理人私鑰的情況下也可對此方案進行攻擊，偽造代理簽名。在簽名周期j，攻擊者選取隨機數(shù)αj，令

則 (j，m，rj，sj，zj，uj，t)為偽造的代理簽名，該簽名能通過驗證。驗證過程如下：

即攻擊成功，此方案不能抵抗原始簽名人和外部攻擊者的攻擊，不具有前向安全性。

4 對王天銀等人方案的安全性進行分析

4.1 原方案回顧

（5）代理簽名的驗證[11]首先計算。如果e′=e則簽名有效。

4.2 對此方案的安全性進行分析

從而有ej'=ej，即原始簽名人偽造攻擊成功。

5 其他方案也存在安全隱患

6 結(jié)語

本文對前向安全簽名方案進行分析，發(fā)現(xiàn)現(xiàn)在大多前向安全的簽名方案不具有真正意義上的前向安全性。因此，真正具有前向安全性的代理簽名方案具有很大的研究價值。

[1]Mambo M，Usuda K，Okamoto E.Proxy signatures for delegating signing operation[C]//Proc of the 3rd ACM Conference on Computer and Communications Security.[S.l.]：ACM Press，1996：48-57.

[2]Mambo M，Usuda K，Okamoto E.Proxy signatures：delegation of the power to sign messages[J].IEICE Trans on Fundam，1996，E79-A（9）：1338-1354.

[3]李繼國，曹珍富，李建中，等.代理簽名的現(xiàn)狀與進展[J].通信學報，2003，24（10）：114-124.

[4]白國強，黃諄，陳弘毅，等.基于橢圓曲線的代理數(shù)字簽名[J].電子學報，2003，31（11）：1659-1663.

[5]Anderson R.Two remarks on public key cryptology[C]//Procofthe4th ACM ComputerandCommunication Security，1997.

[6]王曉明，陳火炎，符方偉.前向安全的代理簽名方案[J].通信學報，2005，26（11）：38-42.

[7]譚作文，劉卓軍.一個前向安全的強代理簽名方案[J].信息與電子工程，2003（4）：257-259.

[8]王亮，賈小珠.基于離散對數(shù)的前向安全代理簽名方案[J].青島大學學報，2007，20（2）：46-49.

[9]夏祥勝，洪帆，崔國華.一個前向安全的代理簽名方案的分析與改進[J].微電子學與計算機，2008，25（10）：172-174.

[10]張曉敏，張建中.一個改進的前向安全的代理簽名方案[J].計算機工程，2007，33（21）：140-141.

[11]王天銀，張建中.一個新的前向安全的代理數(shù)字簽名方案[J].計算機工程與應(yīng)用，2005，41（25）：133-135.

[12]王勇兵，張建中.一種前向安全的匿名代理簽名方案[J].計算機工程與應(yīng)用，2006，42（25）：108-109.