雙線性對代理盲簽名在電子選舉中的應用*

計國民

(滁州職業技術學院，安徽滁州239000)

前言

隨著計算機技術和網絡技術的迅猛發展，電子選舉方案的研究層出不窮，而且具有一定的成效，其很好地解決了投票過程的安全性、不可重復性、合法性等要求，對于選票碰撞、管理機構權限過大、匿名性等問題也得到了很大的改進［1］．其中文獻［2］將OT協議應用于電子選舉中，解決了電子選舉對多選性的要求．文獻［3］基于強(t，n)密鑰絕緣的盲簽名算法和哈希函數設計了一種安全實用的大規模電子選舉協議，對于Internet的大范圍投票場合非常適合．文獻［4］在盲簽名的基礎上，提出了基于雙線性對的代理門限盲簽名方案，節省了用戶從系統中獲取公鑰的時間，減少了系統交互次數，提高了系統執行效率．然而，合法的投票人因無法參與，如何解決代理人代理投票問題，仍有待進一步研究．為此，本文將在文獻［5］的基礎上，利用雙線性對代理盲簽名方案來解決代理人代替合法的投票人進行投票問題．

1 概念介紹

1．1 電子選舉

電子選舉起源于上個世紀80年代．早在1981年，Chaum．D就提出電子投票的思想．1985年，Cohen．J和Fischer．M在IEEE第26屆計算機科學技術年會上提出一個集中式的電子選舉方案，該方案的安全性基于數論中平方剩余問題的概率公鑰加密，采用盲簽名及混合網擾亂發送的消息來實現匿名投票，其假定組織選舉的政府機構不舞弊，從而以很高的概率獲得健壯性和可驗證性．

電子選舉是以密碼學理論為基礎，通過計算機技術和網絡通信技術來實現電子投票的一種選舉方案．在電子選舉系統中，最主要的是如何設計一種安全的電子選舉協議，以保證選舉的公平性、安全性．一個好的電子選舉協議通常應具有合法性(Democratic)、完備性(Completeness)、保密性(Private)、可驗證性(Verifiable)、魯棒性(Robustness)、易用性(Accessible)、靈活性(flexibility)等相關特性．

電子選舉方案應包括注冊、投票、統計、驗證以及公開等五個步驟．

1．2 代理盲簽名

代理盲簽名(Proxy Blind Signature)是代理簽名和盲簽名的有機結合，既具有代理簽名的特性，又具有盲簽名的特性，其有著廣泛的應用領域，在電子選舉中通過代理盲簽名可以實現選舉的保密性和安全性［6］．一個安全的代理盲簽名方案要求只有指定的代理簽名人才能夠產生有效代理盲簽名，任何其他人都不能生成有效的盲代理簽名，并且其代理盲簽名可以被驗證者方便地驗證其有效性，也可以被任何人區分代理盲簽名與正常的原始簽名人的簽名．當代理簽名人代替原始簽名人產生了有效的代理盲簽名后，無論是原始簽名人還是代理簽名人都不能否認其行為．為此，代理盲簽名通常具有盲性、不可偽造性、不可否認性、可鑒別性、可驗證性、防止濫用性等特性．

一個完整的代理盲簽名的構造通常需要用到普通的數字簽名、代理簽名以及盲簽名三種技術，其包括密鑰生成算法、授權代理算法、代理盲簽名算法以及簽名驗證算法四個過程．目前，常用的代理盲簽名方案主要有基于離散對數的代理盲簽名方案、基于身份的代理盲簽名方案以及基于雙線性對的代理盲簽名方案等［7～9］．

1．3 雙線性對

雙線性對是一種加密算法，也就是代數曲線上的Weil對和Tate對，最初在密碼學中主要是用來攻擊橢圓曲線密碼系統和超橢圓曲線密碼系統［10］．

假設G1和G2分別是階為大素數q的循環加法群，GT是乘法群，設P、Q、g分別是G1、G2和GT的一個生成元，即P∈G1，Q∈G2，g∈GT．G1和G2中的離散對數的計算是困難問題．如果存在有效的映射:

e:G1×G2→GT，e(P，Q)=g

并且對于任意的P1，P2∈G1和Q1，Q2∈G2，其滿足以下雙線性性質:

e(P1+P2，Q)=e(P1，Q)e(P2，Q)

e(P，Q1+Q2)=e(P，Q1)e(P，Q2)

那么，映射e就被稱為從G1×G2到GT的一個雙線性對．

雙線性對通常還需要滿足以下兩個條件:

1)非退化性:存在P∈G1，Q∈G2，使得e(P，Q)≠1GT．

2)可計算性:任意取P∈G1，Q∈G2，存在有效算法計算e(P，Q)．

該雙線性對通常稱為非對稱的雙線性對．為了計算的方便，可限制G1=G2，從而可以寫成e:G1×G1→G0，該雙線性對稱為對稱式雙線性對．

2 雙線性對代理盲簽名在電子選舉中的應用

電子選舉系統的選舉過程包括四個組成部分:選票的發放階段、選票的注冊階段、選票的收取階段以及選舉結果的公布階段［11，12］．通常需要代理選舉的電子選舉系統包括五個對象:原始選民、代理選民、選票發放中心、注冊中心以及計票中心，如圖1所示．

圖1 代理電子選舉系統的選舉過程

為了研究方便，本方案在是文獻［5］的基礎上進行改進，為此，本文僅討論代理選舉的相關內容，涉及到電子選舉的其他過程不作討論．

假設原始選民Alice有一選票M需要參與投票，而其選票內容具有一定的保密性，Alice由于種種原因不能對該選票進行簽名并投票，Alice委托代理選民Bob為該選票簽名并投票．為此，采用了基于雙線性對的代理盲簽名方案．

2．1 系統初始化

設G0是一個階為大素數q的GDH群，G2是一個階為大素數q的循環乘法群．雙線性對映射e:G0×G0→G2．

P是G0的一個生成元，散列函數h1:{0，1}*→Zq，h2:{0，1}*→G0，系統公開參數為(G0，G2，e，q，P，h1，h2)．

2．2 密鑰生成

原始選民Alice任意選取隨機數kA∈Z*q作為自己的私鑰并保存好，然后計算PA=kAP，將PA作為其公鑰并在系統內部公開．同樣，代理選民Bob任意選取隨機數kB∈作為其私鑰并保存好，然后計算PB=kBP，將PB作為其公鑰并在系統內部公開．

2．3 選舉過程

1)選票獲取過程

合法的原始選民以匿名身份向選票發放中心申請選票，選票發放人分發給原始選民相應的選票M，在該選票中附唯一序列碼，并對其簽名，以確保該選票的唯一性和可識別性．同時也將該選票發送至注冊中心．

2)選票填寫過程

原始選民Alice收到選票發放中心的選票M后，對其進行填寫，形成具有內容的選票MA，并將其保存好．

3)選票委托過程

(1)原始選民Alice在填寫好自己的選票后，先根據自己的私鑰kA和哈希函數，計算σ'=kAh2(ω)，其中ω為原始選民Alice的授權書，然后將(σ'，ω)發送給代理選民Bob．

(2)代理選民Bob收到原始選民Alice發送來的(σ'，ω)后，驗證等式e(σ'，P)=e(h2(ω)，PA)是否成立，如果成立，則計算出代理簽名的密鑰σ=σ'+kBh2(ω)，其中kB是代理選民Bob的私鑰;否則，拒絕接受其委托．這樣，代理簽名密鑰σ的公鑰即為PA+PB．

(3)代理選民Bob計算并確認代理簽名的密鑰后，任意選取隨機數t∈，計算U'=th2(ω)，然后將(U'，ω)發送給原始選民Alice．

(4)原始選民Alice收到代理選民Bob發送來的(U'，ω)后，任意選取隨機數α∈Z*q作為盲化因子，計算:U=α(U＇+(ω))，M'A=α－1h1(MA‖U)+h2(ω)．然后將盲化的消息M'A發送給代理選民人Bob．

(5)代理選民Bob收到原始選民Alice盲化的消息M'A后，計算V＇=(t+MA＇)σ，并將V'發送給原始選民Alice．

(6)原始選民Alice收到代理選民Bob的V'后，去盲處理，計算V=αV'，這樣就形成了選票MA的簽名(MA，ω，U，V)．

(7)代理選民Bob將此帶有簽名的選票發送到注冊中心，完成代理投票過程．

4)選票的收取過程

計票中心收取來自選民的選票MA，對其驗證并簽名，然后將其記入計票中心的選票信息表中．

5)選舉結果的公布

當所有選票記入選票信息表并公布后，接受公眾的監督和查詢，如有問題，可直接向計票中心提出質詢．當所有的選民無異議后，計票中心統計選票，并向公眾公布選舉的結果．

3 方案的安全性及性能分析

3．1 安全性分析

1)不可偽造性

代理選民Bob無法偽造原始選民Alice的選票進行投票，因為，要使原始選民Alice接受其簽名，當且僅當等式e(V，P)=e(U+h1(MA‖U)h2(ω)，PA+PB)成立方可．

證明e(V，P)=e(αV'，P)=e(α(t+M'A)σ，P)

=e(σ，P)α(t+M'A)=e(h2(ω)，PA+PB)α(t+M'A)

=e(α(t+M'A)h2(ω)，PA+PB)

=e(α(t+α－1h1(MA‖U)+h2(ω))h2(ω)，PA+PB)

= e(αth2(ω) + h2(ω)h1(MA‖U) +αh2(ω)h2(ω)，PA+PB)

=e(α(th2(ω)+(ω))+h2(ω)h1(MA‖U)，PA+PB)

=e(U+h1(MA‖U)h2(ω)，PA+PB)

在選票MA簽名(M，ω，U，V)中有原始選民Alice授權書ω，攻擊者無法偽造原始選民授權書ω'來簽名．攻擊者沒有代理選民Bob的代理密鑰σ，他也無法冒充代理選民對選票MA偽造簽名．如果攻擊者(包括原始選民)在沒有代理密鑰σ下，他與原始選民Alice聯合也不能產生代理選民對選票MA的有效簽名，因為選票MA的簽名(MA，ω，U，V)需要通過等式e(V，P)=e(U+h1(MA‖U)h2(ω)，PA+PB)的驗證，而在等式中e是一個安全的雙線性對，要隨機找到一組簽名滿足上式在計算上是不可行的，所以滿足不可偽造性．

2)合法性

只有合法的選民才能獲得附有唯一序列碼的選票，從而解決了“一人多投”問題．在選票的委托過程中，注冊中心將對選票的合法性和唯一性進行再次驗證．另外，原始選民Alice的授權書ω中還包括其授權的范圍、期限和委托人的ID等相關信息．

3)可驗證性

在委托投票過程中，原始選民Alice在確認代理選民Bob簽名是否有效時，要求其驗證等式e(V，P)=e(U+h1(MA‖U)h2(ω)，PA+PB)是否成立，其中MA，ω，U，V由原始選民公開，而P2、h1和h在系統初始化時就公開，PA和PB在密鑰生成時公開，這樣所有的參數都已公開，選舉過程中的所有參與者都可以對該等式進行計算驗證．

在計票中心，所有的選票信息表都將公開，通過查看選票的信息表，原始選民不需要任何條件就可以查看并驗證自己的選票是否正確．

4)盲性

原始選民Alice收到代理選民Bob的(U'，ω)后，利用盲化因子α對選票MA進行盲化，生成盲化選票M'A，代理選民僅對盲化的選票M'A進行簽名，無法看到原始選票MA，因此盲化選票M'A對代理選民來說具有盲性．

5)保密性

原始選民Alice在申請選票時是以匿名身份登錄的，不會暴露其真實身份，也就是說選民身份具有保密性．另外，在委托投票過程中，選票是盲化的，即M'A，任何人無法看到其選票中的內容，從而保證了選票內容的保密性．

6)不可抵賴性

在選票MA的簽名(MA，ω，U，V)中有原始選民Alice的授權書ω，而且原始選民Alice的公鑰PA在簽名的驗證過程要用到，同時代理選民Bob的公鑰PB也要在簽名的驗證過程中出現．這樣，無論是原始選民還是代理選民都無法否認該選票．

7)不可鏈接性

原始選民Alice在脫盲后形成簽名(MA，ω，U，V)，群G1上離散對數問題是難解的，所以代理選民Bob或其他選民無法通過V=αV'來計算出盲因子α．因此，即使代理選民Bob或其他選民保存了V'和M'A，當(MA，ω，U，V)公布后，代理選民Bob或其他選民也無法確定(MA，ω，U，V)是原始選民Alice的哪一次簽名．所以，該方案具有不可鏈接性．

3．2 方案的效能分析

本電子選舉方案是基于方案［5］的基礎上進行改進的，在計算量和通信量方面，都有很大的改進．在相同的安全性要求下，本方案與文獻［5］在通信量上的比較如表1所示(單位為字節)．在計算量的對比上，本方案與文獻［5］的比較如表2所示，其中ME表示指數和多指數運算，BM表示雙線性對運算．

表1 通信量對比表

表2 計算量對比表

從以上可以看來，本方案在功能上較文獻［5］有一定的改進，而在通信量和計算量上卻有一定的優勢．在實際應用中，具有相同安全性的情況下，功能的實用性和算法的易實現性起到關鍵作用．

4 總結

本文是基于雙線性對代理盲簽名技術，提出一種代理選舉的電子選舉方案，經過對該方案的安全性和性能進行分析，可以看出，在相同的安全性基礎上，該方案無論是在通信量還是在計算量上，都具有一定的優勢，實用性較強．

［1］Meng JiangTao．Cryptographic protocols for electronic voting［J］．Journal of the Graduate School of the Chinese Academy of Sciences．2002，19(3):295－305．

［2］郭棟梁，秦靜，李鵬程．一個基于OT協議的電子選舉方案［J］．計算機應用，2008，25(5):1335－1337．

［3］宋春來，殷新春，孟純煜．一種安全實用的大規模選舉協議［J］．計算機應用與軟件，2008，25(8):40－41，47．

［4］戚艷軍，冀汶莉．一種門限代理盲簽名方案［J］．現代電子技術，2012，35(9):70－72．

［5］陳開兵．基于門限多重盲簽名的電子選舉方案［J］．科學技術與工程，2007，7(12):2856－2859．

［6］Zhang F，Kim K．Efficient ID－Based Blind Signature and Proxy Signature from Pairings．8th Australasian Conference on Information Security and Privacy，LNCS2727．Springer－Verlag［J］．2003:312－323．

［7］Zhang F，Safavi－Naini R，Lin C．New Proxy Signature．Proxy Blind Signature and Proxy Ring Singature Scheme from Bilinear Pairings．http://eprint．iacr．org/2003/104．

［8］Mambo M，Usuda K，Okamoto E．Proxy Signatures for Delegating Signing Operation［C］．New Dehi:ACM Press，Proceedings of the 3rd ACM Conference on Computer and Communications Security，1996:48－57．

［9］Zhang K．Threshold Proxy Signature Schemes［C］//1997 Information Security Workshop．Japan，1997:191－197．

［10］陳開兵．基于雙線性對的代理盲簽名方案［J］．信息安全與技術，2013(4):24－26．

［11］陳曉峰，王繼林，王育民．基于半信任模型的無收據的電子投票［J］．計算機學報，2003，26(5):557－562．

［12］汪保友，楊風，胡運發．基于盲簽名的在線選舉方案［J］．小型微型計算機系統，2003，249(3):588－591．