一種無雙線性對的代理盲簽名方案

左黎明，郭紅麗，張婷婷，陳祚松

（華東交通大學理學院，江西 南昌330013）

一種無雙線性對的代理盲簽名方案

左黎明，郭紅麗，張婷婷，陳祚松

（華東交通大學理學院，江西 南昌330013）

對林振宇等人提出的改進代理盲簽名方案進行了安全性分析，指出其方案不能抵抗有惡意原始簽名者參與的合謀攻擊，在此基礎上提出了一種改進的無雙線性對的代理盲簽名方案，證明了改進方案在隨機預言機模型下是存在性不可偽造。

代理盲簽名；無雙線性對；合謀攻擊；隨機預言機；不可偽造性

代理簽名是一類重要的簽名，由Mambo等［1］在1996年提出。在此之前Chaum［2］于1982年提出了盲簽名的概念，盲簽名具有盲性和不可追蹤性。2000年Lin［3］首次提出代理盲簽名方案，該方案具有盲簽名和代理簽名的特點。2003年譚作文［4］提出了一種基于Schnorr［5］簽名的代理盲簽名方案，將代理簽名應用到電子支付和電子選舉等。2005年Awasthi［6］基于Mambo方案提出一種新的代理簽名方案。2005年谷利澤等［7］提出一種基于離散對數困難問題的代理盲簽名方案，但2010年王國瞻等［8］指出文獻［7］存在漏洞，不滿足不可偽造性和不可鏈接性，原始簽名者通過構造代理私鑰可以偽造一個新的簽名方案，代理簽名者通過簽名和簽名參數可追蹤到代理盲簽名。2015年林振宇等［9］指出文獻［8］中的改進方案依舊存在漏洞，不滿足不可偽造性和不可鏈接性。在研究文獻［9］過程中，發現其改進方案值得商榷，存在代理公鑰替換攻擊漏洞。

1 對原始方案的攻擊

預備知識、原方案具體過程詳見文獻［9］，文獻［10］中周明和王箭細致歸納和描述了代理盲簽名方案的形式化定義、安全模型和3種類型敵手能力模型（類型I代表惡意原始簽名者，類型II代表惡意代理簽名者，類型III代表惡意用戶），本文沿用文獻［10］中的安全定義和敵手模型，限于篇幅本文也不再另行說明。

1.1 代理公鑰替換攻擊

惡意攻擊者Jack與不誠實的原始簽名人A進行串謀，冒充合法代理簽名者進行B簽名。隨機選擇v∈Zq*，計算yp=gv·yB-1，yB為B的公鑰，Jack將yp作為B的代理公鑰。假設簽名接受者Rose是誠實的，從盲簽名階段開始，攻擊過程如下:

（S1）Jack隨機選擇v∈Zq*，計算:r=gkmod p，將（rA，r，mwΓ）發送給簽名接收者Rose；

（S2）Rose隨機選擇α，β，γ∈Z*q，并計算:r′=rαgβ（yByp）-ymod p，e′=h（m‖r′），e=（（e′-γ）/α）mod p，Rose將e發給了冒充者Jack；

（S3）Jack計算s=（k+ev）mod p，將s傳給簽名接收者Rose；

（S4）Rose接收到s后驗證:gs=r（yByp）mod p，若此式成立，則計算:s′=（αs+β）mod q，簽名接收者Rose接受（m，（mwΓ，rA），（e′，s′））作為原始簽名者A的代理盲簽名；若不成立，則代理盲簽名無效。

在簽名驗證過程中，根據文獻［9］驗證等式:e′=h（m‖gs′（yByp）-e′）mod p，可見上述攻擊是有效的。證明過程如下:

注意到引發原方案漏洞的主要問題在于驗證等式中沒有使用原始簽名人A的授權信息而是直接使用了代理公鑰，在原始簽名人A合謀的情況下代理公鑰的生成和發布并不一定是權威的。事實上不難發現不誠實的簽名接收者Rose與不誠實的原始簽名人A進行串謀，可以通過替換代理公鑰實現偽造合法代理簽名者B的代理簽名，攻擊方法與上述攻擊過程類似。

2 改進的代理盲簽名方案

針對文獻［9］的公鑰替換攻擊漏洞，本文提出一個改進的代理盲簽名方案。

2.1 符號說明

設A為原始簽名者，B為代理簽名者，R是簽名接收者。p和q為大素數，且滿足q｜（p-1），選擇Zp的q階生成元g，1≤g≤p，即gq=1（mod p）。選擇抗碰撞的哈希函數h∶｛0，1｝1∞→Zq*。設A的私鑰為xA，公鑰為yA= gxAmod p，B的私鑰為xB，公鑰為yB=gxBmod p，mw為代理授權信息。

2.2 代理授權

原始簽名者A隨機選擇kA∈Zq*，并計算rA=gkAmod p，計算sA=xAh（mw，rA）+kAyBmod q，A將（rA，sA，mw）通過安全渠道秘密發送給代理簽名者B，并在線公開（rA，gsA，mw）為代理簽名者B的授權信息。代理簽名者B收到（rA，sA，mw）后，驗證等式gsA=yAh（mw，yA）rAyBmod p是否成立 ，若成立，則計算xp=SA+xBmod q，yp=gxpmod p，將xp作為代理私鑰，yp作為代理公鑰。

2.3 代理盲簽名

（S1）B隨機選擇k∈Zq*，計算r=gkmod p，將（r，yp）發送給R；

（S2）R查詢B的代理信息（rA，gsA，mw），隨機選擇α，β∈Zq*計算:r′=rgαypβmod p，e′=h（m‖r′），e=e′+βmod q，將e傳給B；

（S3）B計算:s=k+xpemod q，將s發送給R；

（S4）R收到s后，驗證等式:gs=rgsAByBemod p，若成立，則計算s′=s+αmod q，R接受（m，（rA，gsA，mw），（e′，s′））作為A的代理盲簽名；若不成立，則拒絕該簽名。

2.4 簽名驗證

驗證者查詢B的代理信息（rA，gsA，mw），計算r′=gs′（gsA·yB）-e′，驗證等式:e′=h（m‖r′），若該等式成立，則代理盲簽名（m，（rA，gsA，mw），（e′，s′））有效；否則簽名無效。

等式的正確性在于r′，驗證有效性如下:

2.5 代理資格注銷

原始簽名者A發布公告含有（rA，gsA，mw）的簽名均無效，并刪除B的在線代理信息。

3 安全性分析

3.1 不可偽造性

以下證明在DLP困難假設和隨機預言機模型下，本文方案針對類型I的敵手在適應性選擇消息攻擊下是不可偽造的，相關安全模型和敵手能力的細致描述參考文獻［10］。

定理 假設存在挑戰者C可以在多項式時間t內以一個不可忽略的概率ε偽造一個有效的簽名，則存在敵手Au在多項式時間t2內以不可忽略概率優勢ε2解決DLP。

3.2 效率分析

在盲簽名階段，為了修補原始方案漏洞，本文方案比原始方案增加了2個乘運算和1個指數運算，其他階段與原始簽名的計算復雜度相同。

4 結語

代理盲簽名是電子金融應用中一種非常重要的簽名形式，適用于實時性要求比較高，需要采用多臺簽名服務器分擔主簽名服務器的負擔的場合［11］（比如鐵路網上售票系統）。本文在對文獻［9］提出的代理盲簽名方案分析時發現原方案存在一些值得商榷的安全缺陷，導致不能抵抗代理公鑰替換攻擊。隨后提出了一種改進的代理盲簽名方案，針對類型I敵手，改進方案能夠被證明在隨機預言機模型下是存在不可偽造的。本文方案沒有使用實現困難且效率低下的雙線性對運算，易于實現。

［1］MAMBO M，USUDA K，OKAMOTO E.Proxy signatures for delegating signing operation［C］//Proc of 3rd ACM Conference on Computer and Communications Security，New Delhi:ACM Press，1996:48-57.

［2］CHAUM D.Blind signatures for untraceable payments［C］//Proceedings of CRYPTO’82，New York:Plenum Press，1983:199-203.

［3］LIN W D，JAN J K.A security personal learning tools using a proxy blind signature scheme［C］//Proc of International Conference on Chinese Language Computing，Illinois，USA:ICCLC Bess，2000:273-277.

［4］TAN Z W，LIU Z J，TANG C M.A proxy blind signature schemes based on DLP［J］.Joumal of Software，2003，14（11）:1931－1935.

［5］SCHNORR C.Efficient identification and signature for smart cards［C］//Proceedings of CRYPTO 89，LNCS 435，Berlin:Springer，1990:239-252.

［6］AWASTHI A K，LAL S.Proxy blind signature scheme［J］.JFCR Transaction on Cryptology，2005，2（1）:5-11.

［7］谷利澤，張勝，楊義先.代理盲簽名方案及其在電子貨幣中的應用［J］.計算機工程，2005，31（16）:11-13.

［8］王國瞻，亢保元，成林.一個代理盲簽名方案的分析［J］.計算機工程，2010，36（3）:134-135.

［9］林振宇，賀亞威，候整風.改進的代理盲簽名方案［J］.合肥工業大學學報，2015，38（1）:40-43.

［10］周明，王箭.一個可證安全的高效的代理盲簽名方案［J］.計算機工程與科學，2015，37（9）:1643-1651.

［11］湯鵬志，陳仁群，左黎明.一種基于橢圓曲線的門限部分盲簽名方案［J］.華東交通大學學報，2014，31（6）:96-102.

An Improved Proxy Blind Signature Scheme without Nilinear Pairing

Zuo Liming，Guo Hongli，Zhang Tingting，Chen Zuosong
（School of Science，East China Jiaotong University，Nanchang 330013，China）

The cryptanalysis of an improved proxy blind signature scheme without bilinear pairing proposed by Lin et al.pointed out that the scheme couldn’t resist conspiracy attack which was made by the participant malicious original signer.Therefore，an improved proxy blind signature scheme without bilinear was put forward and proved to be existentially unforgeable against malicious original signers in random oracle model.

proxy blind signature；no bilinear pairing；collusion attacks；random oracle；unforgeability

TP309.2

A

1005-0523（2016）05-139-04

（責任編輯 劉棉玲）

2016-04-05

國家自然科學基金項目（11361024，11261019）；江西省自然科學基金項目（20151BAB201002）；江西省研究生創新項目（YC2015-S255）

左黎明（1981—），男，副教授，碩士，研究方向為信息安全，非線性系統。