無可信PKG的盲簽名方案的安全性分析及改進

李　莎　李　虓　何明星　羅大文　杜亞軍

(西華大學數學與計算機學院　四川 成都 610039)

?

無可信PKG的盲簽名方案的安全性分析及改進

李莎李虓*何明星羅大文杜亞軍

(西華大學數學與計算機學院四川 成都 610039)

摘要無可信PKG的密碼體制克服了基于身份的密碼體制的密鑰托管問題。針對何俊杰等人的無可信PKG的盲簽名方案，詳細分析其安全性，發現其方案不能抵抗敵手AI偽造攻擊。敵手AI在無法獲取用戶的部分私鑰和秘密值的情況下，對用戶的部分公鑰進行替代，可生成對任意消息的合法的盲簽名。當用追溯算法時，仲裁方將斷定該簽名是PKG偽造的，誠實的PKG就會被敵手AI陷害。為此，提出相應的改進方案，對驗證等式做了相應變化，有效地防止了敵手AI的公鑰替代攻擊。

關鍵詞基于身份盲簽名私鑰生產中心偽造攻擊替代公鑰

SECURITY ANALYSIS AND IMPROVEMENT FOR BLIND SIGNATURE SCHEME WITHOUT TRUSTED PKG

Li ShaLi Xiao*He MingxingLuo DawenDu Yajun

(School of Mathematics and Computer Engineering,Xihua University,Chengdu 610039,Sichuan,China)

AbstractThe cryptosystem without trusted PKG gets over the problem of key escrow of the identity-based cryptosystem. In this paper we analyse in detail the security of blind signature schemes without trusted PKG presented by He Jun-jie et al., and find out that this scheme cannot resist the forgery attack of type one adversaryAI.The adversaryAIsubstitutes user’s partial public key under the condition of unable to gain the partial private key and secret value of the user, and this can forge a legitimate blind signature on arbitrary message. When the trace algorithm is executed, the arbiter will decide that this signature is forged by the PKG, and the honest PKG is to be framed by adversaryAI.Therefore, we propose an corresponding improved scheme, and make correlated change to the verification equation, thus effectively prevent the public key substitution attacks by adversaryAI.

KeywordsID-basedBlind signaturePrivate key generatorForgery attackSubstitution public key

0引言

盲簽名是一種非常典型的數字簽名技術，它最早于1982由Chuam[1]提出。在盲簽名[1]中，簽名者對所簽署的消息是不可見的，當簽名消息被公布后，簽名者不能確認他是否簽署了該消息。1984年，Shamir首次提出了基于身份的公鑰密碼體制[2]，其目的是為了簡化PKI對密鑰的管理和取消公鑰證書。在基于身份的密碼體制[2]中，用戶的身份信息被作為用戶的公鑰，用戶的私鑰由私鑰生成中心(PKG)生成。用戶的公鑰將不再需要公鑰證書去進行認證，從而極大地降低了系統密鑰管理的開銷，提高了密鑰管理的效率。然而，在基于身份的密碼體制[2]中，由于PKG知道系統中所有用戶的私鑰，于是密鑰托管問題就成了基于身份密碼體制不可避免的缺陷[3,4]。同時，PKG擁有了所有用戶的私鑰，PKG就成了敵手攻擊的主要目標，一旦PKG被攻破或被腐蝕，系統崩潰將再所難免。

為了解決基于身份的公鑰密碼體制的密鑰托管問題，密碼學者提出了無證書的公鑰密碼體制[3]和基于身份的無可信PKG的密碼體制[4]。在無證書[3]及無可信PKG[4]的公鑰密碼體制中，用戶的私鑰由PKG生成的部分私鑰和用戶自選的一個秘密值組成，用戶自己生成一個部分公鑰。因為PKG無法知道用戶的秘密值，從而有效地克服了基于身份的公鑰密碼體制的密鑰托管問題。許多學者把無可信PKG的公鑰密碼體制和盲簽名技術結合起來，于是出現了基于身份的無可信PKG的盲簽名[5-12]。無可信PKG的密碼體制中，用戶的部分公鑰是自己生成的，沒有被注冊認證，容易遭到部分公鑰被替代攻擊。

2013年，何俊杰等提出了一個新的無可信私鑰生成中心的盲簽名方案[12]。該方案[12]聲稱能抵抗敵手AI和敵手AI的自適應選擇消息和身份的偽造攻擊，并且可以通過追溯算法來抵抗惡意PKG(敵手AIII)的偽造攻擊。本文對何俊杰[12]的方案進行了安全性分析，發現他們的方案不能抵抗敵手AI的偽造攻擊，當用追溯算法時可以陷害誠實的PKG，并給出了相應的改進方案，并給出了相應的改進方案。

1預備知識

1.1雙線性對

設(G1,+)是一個加法群，(G2,·)是一個乘法群，階都為素數q，并假設離散對數問題在群G1和G2中是難解的。若一個映射e:G1×G1→G2滿足：

2) 非退化性：存在P,Q∈G1，使得e(P,Q)≠1。

3) 可計算性：對?P,Q∈G1，計算e(P,Q)的值存在一個高效的算法。

則稱映射e:G1×G1→G2是一個雙線性對。

1.2相關數學難題

設P是G的一個生成元。

1.3無可信PKG的盲簽名的攻擊模型

根據PKG的可信度，無可信PKG的盲簽名方案的攻擊模型可以分為以下三種類型[8,12]：

類型1PKG是可信的，安全保護用戶的部分私鑰SID和系統主密鑰s，敵手AI不能得到用戶的秘密值xID和部分私鑰SID，但可以替換用戶的公鑰pkID。

類型2PKG是半可信的或被敵手AII攻破，用戶的部分私鑰SID，甚至系統主密鑰s都可能被AII獲取，但不能得到用戶的秘密值xID，并且不能替換用戶的公鑰pkID。

類型3PKG是完全不可信的，能偽造身份為ID的合法用戶秘密值xID和公鑰pkID，甚至給敵手AIII泄露部分私鑰SID。

若能滿足可追溯性并且可以抵抗AI和AII的偽造攻擊，則稱無可信PKG的盲簽名方案是安全的。當敵手AIII偽造合法簽名者的簽名時，仲裁方可用追溯算法來證明這是一個偽造簽名。

2H-Z-Q盲簽名方案及其安全性分析

2.1H-Z-Q盲簽名方案回顧

2013年，何俊杰等提出了一個新的無可信私鑰生成中心的盲簽名方案[12]，這里簡記為H-Z-Q盲簽名方案。H-Z-Q盲簽名方案[12]簡述如下：

2) 密鑰提取

b.Alice產生自己的部分公鑰PID=xIDP。

c.Alice把部分公鑰PID和身份ID發送給PKG，PKG計算QID=H1(ID,PID)和簽名者的部分私鑰SID=sQID，并將SID發送給Alice。Alice通過驗證等式e(SID,P)=e(QID,Ppub)來檢驗SID的合法性。

d.Alice產生自己的簽名私鑰skID=(xID,SID)。

3) 簽名發布簽名者Alice被請求者Bob請求對消息m執行盲簽名：

將(T,r)發送給Alice。

c.簽名Alice收到(T,r)后，計算S=xIDT+krSID。將S發送給Bob。

d.脫盲Bob收到S后，計算V=β-1(S-γPID)。

則(U,V)為身份是ID的Alice對消息m的盲簽名。

4) 驗證驗證者獲取盲簽名(ID,m,(U,V))后，利用Alice的公開密鑰PID來計算QID=H1(ID,PID)，H=H2(ID,m,U)，驗證等式：

e(V,P)=e(H,PID)e(QID,U)

是否成立。如果成立，(ID,m,(U,V))為有效的盲簽名；否則簽名無效。

2.2H-Z-Q盲簽名方案的安全性分析

對H-Z-Q盲簽名方案[12]，敵手AI雖然無法獲取用戶(身份為ID)的部分私鑰SID和秘密值xID，但敵手AI可以替換用戶(身份為ID)的部分公鑰PID，并進行偽造攻擊。敵手AI可假冒任意用戶Alice對任意消息m′進行偽造盲簽名，下面分兩種情形來偽造盲簽名：

第一種情形敵手AI(即簽名請求者Bob)偽造簽名者Alice(其身份為ID)對任意消息m′的盲簽名，具體方法如下：

(3) AI計算：

H′=H2(ID,m′,U′)

則偽造簽名為(ID,m′,(U′,V′))。由于簽名者Alice沒有對消息m′進行簽名，顯然(ID,m′,(U′,V′))對簽名者Alice來說是盲的。同時(ID,m′,(U′,V′))是一個有效的簽名，這是因為：

第二種情形敵手AI假冒簽名者Alice(其身份為ID)為簽名請求者Bob對消息m′生成盲簽名，具體方法如下：

U′=αR′=αk′P

T′=βH2(ID,m′,U′)+γP

r=βαmodq

將(T′,r)發送給AI。

則敵手AI假冒簽名者Alice(其身份為ID)偽造的盲簽名為(ID,m′,(U′,V′))。顯然(ID,m′,(U′,V′))是一個有效的簽名，這是因為：

H′=H2(ID,m′,U′)

3H-Z-Q盲簽名方案的改進及分析

3.1H-Z-Q盲簽名方案的改進

H-Z-Q盲簽名方案[12]的驗證等式：e(V,P)=e(H,PID)e(QID,U)不能有效地證明簽名者擁有合法的SID，從而無法避免敵手AI的公鑰替代攻擊。要有效地證明簽名者擁有合法的SID，驗證等式中應該出現e(QID,Ppub)。下面給出H-Z-Q盲簽名方案[12]的改進方案：

1) 系統建立與原方案相同。

2) 密鑰提取與原方案相同。

3) 簽名發布 簽名者Alice被請求者Bob請求對消息m執行盲簽名：

c.簽名Alice收到(T,r,U1)后，計算S = xIDT + k1rSID+ k2-1U1。將S發送給Bob。

d.脫盲Bob收到S后，計算V=β-1(S-γPID)。

則(U,V)為身份是ID的Alice對消息m的盲簽名。

4) 驗證驗證者獲取盲簽名(ID,m,(U,V))后，利用Alice的公開密鑰PID來計算QID=H1(ID,PID)，H=H2(ID,m,U)，驗證等式：

e(V-P,P)=e(H,PID)e(QID,Ppub+U)

是否成立。如果成立，(ID,m,(U,V))為有效的盲簽名；否則簽名無效。

3.2改進方案的分析

1) 正確性分析

顯然改進的方案是正確的，這是因為：

V-P=β-1(S-γPID)-P

=β-1(xIDT + k1rSID+ k2-1U1-γPID)-P

=β-1(xIDβH2(ID,m,U)+γxIDP+

k1βαSID+ k2-1βR2-γxIDP)-P

=xIDH + k1αSID+ k2-1k2(P + SID)-P

=xIDH+k1αsQID+sQID

故：

e(V-P,P)=e(xIDH,P)e((k1αs+s)QID,P)

=e(H,xIDP)e(QID,sP+αk1sP)

=e(H,xIDP)e(QID,Ppub+αk1Ppub)

=e(H,PID)e(QID,Ppub+U)

2) 安全性分析

改進的方案是安全的，能抵抗敵手AI、AII、AIII的偽造攻擊。

(2) 改進的方案能抵抗敵手AII的攻擊。由于驗證等式中含有e(H,PID)=e(xIDH,P)，因此要使得偽造的盲簽名通過驗證等式，敵手必須知道U的秘密值xID。雖然敵手AII知道主密鑰s，但他不能替代U的秘密值xID。因此敵手AII要得到xID，只能解PID=xIDP，則敵手具有求解橢圓曲線上離散對數問題的能力。

(3) 改進的方案可用追溯算法抵抗敵手AIII的攻擊。

3) 性能分析

本文從運算量和安全性兩個方面，將改進的方案與H-Z-Q方案[12]進行比較，比較結果如表1所示。令P、mul、exp、H 分別表示雙線性對運算、標量乘運算、冪運算和哈希運算。

表1　改進方案與H-Z-Q方案[12]的比較

從表1可以看出: 改進方案與H-Z-Q方案[12]在驗證過程中運算量相同，在簽名過程中改進的方案運算量比H-Z-Q方案[12]增加了3個標量乘運算。但改進方案消除了公鑰替換攻擊和惡意的PKG攻擊。

4結語

本文對H-Z-Q盲簽名方案[12]進行了安全性分析，發現這個方案不能抵抗敵手AI的偽造攻擊。敵手AI可假冒任何簽名者偽造對任意消息進行盲簽名并陷害誠實PKG。針對方案的安全缺陷，給出了其相應的改進方案及分析。改進的方案在驗證等式添加了e(QID,Ppub)，有效地證明簽名者擁有合法的部分私鑰SID，從而克服了敵手的公鑰替代攻擊。

參考文獻

[1] Chaum D.Blind signature for untraceable payments[C]//Advances in Cryptology- CRYPTO’83.Berlin:Plenum Press,1983:199-233.

[2] Shamir A.Identity-based cryptosystems and signature schemes[C]//Advances in Cryptology- CRYPTO’84.Berlin:Springer-Verlag,1984:47-53.

[3] Al-riyami S S,Paterson K G.Certificateless public key cryptography[C]//ASIACRYPT 2003,LNCS 2894.Berlin:Springer-Verlag,2003:452-473.

[4] Liao J,Xiao J F,Qi Y H,et al.ID-based signature scheme without trusted PKG[C]//Information Security and Cryptology 2005,LNCS 3822:53-62.

[5] 張學軍,王育民.新的基于身份無可信中心的盲簽名和代理簽名[J].計算機工程與應用,2007,43(1):142-144.

[6] Yu Y H,Zheng S H,Yang Y X.ID-based blind signature and proxy blind signature without trusted PKG[C]//Proceedings of CSICC 2008,CCIS6.Berlin:Springer-Verlag,2008:821-824.

[7] 馮濤,彭偉,馬建峰.安全的無可信PKG的部分盲簽名方案[J].通信學報,2010,31(1):128-135.

[8] 張小萍,鐘誠.高效無可信私鑰生成中心部分盲簽名方案[J].計算機應用,2011,31(4):992-995.

[9] Zhang Xiaozhi,Xi Junfu,Wang Dongmei.New ID-based proxy blind multi-signature scheme without trusted PKG[C]//International Conference on Electronics Communications and Control,2011:352-355.

[10] 周萍,何大可.安全無可信私鑰生成中心的部分盲簽名方案[J].計算機系統應用,2012,21(6):70-74.

[11] 周萍,何大可.高效無可信PKG的新型盲簽名方案[J].計算機應用研究,2012,29(2):626-629.

[12] 何俊杰,王娟,祁傳達.新的無可信私鑰生成中心的盲簽名方案[J].計算機應用,2013,33(4):1061-1064,1095.

中圖分類號TP3

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.02.071

收稿日期：2014-05-19。國家自然科學基金項目(U1433130，6127 1413)；四川省重點基金項目(SZD0802-09-1)；西華大學重點實驗室開放研究基金項目(S2jj2012-029)。李莎，碩士生，主研領域：密碼學與信息安全。李虓，副教授。何明星，教授。羅大文，副教授。杜亞軍，教授。