基于DLP的自認證簽密方案探討

武旭升

(西南大學數學與統計學院， 重慶　北碚　400715)

?

基于DLP的自認證簽密方案探討

武旭升

(西南大學數學與統計學院， 重慶北碚400715)

文章基于離散對數提出一種新的自認證簽密方案，在有限域上離散對數問題的困難性假設下，新構造的方案被證明是安全的.該方案還具有保密性、不可偽造性、公開驗證性、不可否認性和前向安全性等安全屬性.本方案消除了證書管理和秘鑰托管的安全問題且效率較高，易于實現.

自認證；簽密；有限域上離散對數問題DLP；可公開驗證

信息安全研究的主要目標是使消息保密又可以認證傳輸.傳統方法“先簽名后加密”所需的代價是簽名和加密兩部分代價之和，效率也較低.Zheng于1997年第一次提出簽密的具體概念[1].簽密能夠在一個合理的邏輯步驟內同時完成數字簽名和公鑰加密兩項功能，提高了效率，在計算量和通信成本方面都要比傳統的“先簽名后加密”降低很多，因而可以把簽密看作是一種較為理想且安全的傳輸消息的方法.1984年，Shamir首次提出基于身份的密碼體制[2].在該密碼體制中，用戶公鑰是相應身份信息，而對應私鑰則是由一可信方產生，稱其為私鑰生成中心(PKG).但依舊存在秘鑰托管問題.1991年，Girault M首次建立自認證簽密體制[3].自認證簽密體制不僅解決了傳統的“先簽名后加密”問題，而且解決了公鑰密碼系統中的證書托管問題和基于身份的密碼體制中的密鑰托管問題.

在已有研究[4-7]和有限域上離散對數問題的難解性下，本文提出一種不依賴于橢圓曲線和雙線性對的新的自認證簽密方案.

1　相關困難問題

離散對數DL問題[8].設乘法群G,一個n階元素g∈G,β是在乘法群G下以g為生成元的任意一個元素，即β∈.找到唯一的整數a，0≤a≤n-1，滿足ga=β，記a為loggβ，a即為β的離散對數.

2　一種基于離散對數的自認證簽密方案

本文提出一種基于離散對數的自認證簽密方案，具體如下：

(3)PKG計算Qu=H1(yu)和xu=gxQumodq，并將(Qu,xu)發送給用戶u.

(4)用戶u可以通過方程yQu=xumodq驗證xu的合法性，如果等式成立，進行以下步驟.

(5)私鑰生成(Private Key Extract)：用戶u通過計算Su=ru+xH1(xu)生成私鑰Su.

(6)簽密(Sign Crypt)：當Alice要發送消息m給Bob時，Alice執行以下操作：

②計算V=(yByH1(yQB))kmodq；

③計算c=H3(V)⊕m；

④計算S=g-kH1(gSA)H2(m,R)modq；

⑤發送消息σ=(R,c,S).

(7)解密驗證(Unsign Crypt)：收到密文σ后，Bob執行以下操作：

①計算V=RSBmodq；

②恢復消息m=c⊕H3(V)；

③RS=H1(yAyH1(yQA))H2(m,R)modq成立，則Bob接收消息m；否則Bob不接收m.

(8)消息正確性：

V=(yByH1(yQB))kmodq=(grBgxH1(xB))kmod

=gk[rB+xH1(xB)]modq=RrB+xH1(xB)modq=RSBmodq，

RS=gkg-kH1(gSA)H2(m,R)modq

=H1(gSA)H2(m,R)modq

=H1(grA+xH1(xA))H2(m,R)modq

=H1(grAgxH1(xA))H2(m,R)modq

=H1(yAyH1(xA))H2(m,R)modq

=H1(yAyH1(yQA))H2(m,R)modq

3　安全概念和安全性分析

3.1安全概念

一個基于離散對數問題的自認證簽密方案需要具有以下安全屬性：(1) 消息保密性：攻擊者Oscar要想從已知的簽密密文中獲取任何明文信息在計算上是不可行的.(2) 密文不可偽造性：攻擊者Oscar通過已知信息產生一個合法的簽密密文在計算上是不可行的.(3) 第三方公開驗證性：任何第三方在獲取密文之后通過利用系統公開參數和簽密方Alice的公鑰驗證等式來證明這個密文是否由Alice所簽，并且驗證者不能獲得除該密文之外簽密者Alice和接受者Bob更多的信息.(4)不可否認性：簽密者Alice不能否認她之前簽密過的消息.(5)前向安全性：如果簽密者Alice的私鑰被意外泄露或偷走，第三方也不能恢復出她已經簽密消息的明文.

3.2安全性分析

定理1在有限域上離散對數問題的難解性下，除簽密者Alice和密文接收者Bob外，第三方Oscar不能從密文(R,c,S)中提取出消息m，則本文方案具有消息的保密性.

證明假設攻擊者Oscar已成功竊取Alice向Bob發送的已知消息m的一組密文(R,c,S)，要想通過m=c⊕H3(V)恢復消息m，則必須知道V.攻擊者只能通過R=gkmodq計算出k，再通過V=(yByH1(yQB))kmodq得到V.但從R=gkmodq中得出k相當于解決一個有限域上的離散對數問題，幾乎是不可行的.Oscar不可能通過已獲得的密文中得到明文消息m.

定理2在有限域上離散對數問題和單項散列函數求逆問題的困難性下，任何內部攻擊者和外部攻擊者都不可能偽造一個來自簽密者Alice的關于某個消息的簽密密文.本方案滿足不可偽造性.

證明分內部攻擊者Bob和外部攻擊者兩種情況.假定Bob試圖通過R=gkmodq求出k之后偽造簽密，相當于解決有限域上的離散對數問題，幾乎是不可行的.

對于外部攻擊者，在有限域上求解離散對數問題和單項散列函數的求逆問題是很困難的，想要通過等式RS=H1(yAyH1(yQA))H2(m,R)modq求出m，進而去偽造密文是不可行的.

定理3本方案具有公開驗證性.

證明只需提交(R,c,S)給第三方驗證者，驗證者只需通過驗證RS=H1(yAyH1(yQA))H2(m,R)modq是否是成立的.在驗證的整個過程中并不需要Bob的私鑰SB，同時也不用得到m，因此在取得保密性的基礎上，第三方可以公開驗證.

定理4本方案滿足不可否認性.

證明只有簽密者Alice才能聲稱密文(R,c,S)的有效性，任何第三方利用RS=H1(yAyH1(yQA))H2(m,R)modq來驗證(R,S)是否是m的有效密文.因此，Bob 在不泄露其私鑰SB的條件下，只要把密文(R,c,S)給第三方驗證者就能夠在滿足公開驗證性的基礎上實現消息的不可否認性.

定理5在有限域上離散對數問題的難解性下本方案滿足前向安全性.

證明假設在傳輸消息的過程中，第三方可以得到密文(R,c,S).若第三方知道Alice的私鑰SA，但由于他不知道接收者Bob的私鑰SB，從而不可能通過V=RSBmodq計算出V.第三方只能通過V=(yByH1(yQB))kmodq來計算V ，但必須先通過R=gkmodq計算出k，才可求出V，這是不可行的.因為從R=gkmodq中求得k相當于求解有限域上的離散對數問題.

4　結語

簽密技術和自認證公鑰技術是密碼學中的兩種新的密碼技術.簽密能在一個邏輯步驟內同時完成數字簽名和加密兩項功能.自認證簽密技術使得用戶的公鑰無需被單獨認證，而且用戶的私鑰由用戶自己獨立完成，PKG無法假冒用戶，消除了密鑰托管問題.本文提出一種不依賴于橢圓曲線和雙線性對的新的自認證簽密方案.該方案是安全的,而且具有消息的保密性、密文的不可偽造性、密文的公開驗證性、不可否認性以及前向安全性等安全屬性.本方案不僅不存在密鑰托管問題，而且不需要使用任何公鑰證書，即消除了證書存在問題，節省了大量的存儲空間，相應的系統運行效率也隨之提高，降低了系統的復雜性且易于實現.

[1]ZHENG Y. Digital signcryption or how to achieve cost (signature & encryption) cost (signature)+cost (encryption)[G]. Springer- Verlag, 1997:165-179.

[2]SHAMIR A. Identity-based cryptosystems and signature schemes [M]. Springer Berlin Heidelberg, 1984:47-53.

[3]GIRAULT M. Self-certified public keys[G]. Springer-Verlag, 1991:490-497.

[4]BAO F, DENG R H. A signcryption scheme with signature directly verifiable by public key[M]. Springer Berlin Heidelberg, 1998:55-59.

[5]CHANG Y S, WU T C, HUANG S C. Elgamal -like digital signature and multisignature schemes using self-certified public keys[J]. Journal of Systems and Software, 2000, 50(2):99-105.

[6]HSU C L, WU T S. Self-certified threshold proxy signature schemes with message recovery, nonrepudiation and traceability [J].Applied Mathematics and Computation, 2005, 164(1):201-225.

[7]CHANG Y F, CHANG C C, HUANG H F. Digital signature with message recovery using self-certified public keys without trustworthy system authority [J].Applied Mathematics and Computation,2005, 161(1):211-227.

[8]YU Y， MU Y, WANG G L, et al. Improved certificateless signature scheme provably secure in the standard model [J].IET Information Security, 2012, 6(2): 102-110.

(責任編輯穆剛)

Self-certified signcryption scheme based on DLP

WU Xusheng

(School of Mathematics and Statistics, Southwest University, Beibei Chongqing 400715, China)

In this paper, the author presented a new self-certified signcryption scheme based on the discrete logarithm problem, and the security analysis of the proposed scheme in the implementation plan with the random oracle model is presented in this paper. The proposed scheme has the security properties of confidentiality, non-forgeability, publicly verifiability, nonrepudiation and perfect forward security, etc. The scheme overcomes certificate management problem and key escrow problem. Moreover, it has high efficiency and is convenient to implement.

self-certified; signcryption; discrete logarithm problem (DLP); public verifiability

2016-04-06

武旭升(1990—)，女，山西長治人，碩士研究生，主要從事編碼理論、密碼學方面的研究．

TP309

A

1673-8004(2016)05-0105-03