對前向安全代理盲簽名方案的分析與改進①

廖小平

(四川文理學院 智能制造學院,達州 635000)

(達州智能制造產業技術研究院,達州 635000)

數字簽名的概念首先由Diffie和Hellman[1]提出,可用于合同、證書文件等的證明,也可作為復雜安全協議的組成部分. 隨著研究的深入,許多具有特殊性質的數字簽名方案相繼被提出,如盲簽名[2]、代理簽名[3],或兩種技術相結合的代理盲簽名方案,所有的數字簽名方案中都需要安全地保存簽名密鑰,因為一旦簽名密鑰泄露,由這個簽名密鑰所簽署的所有簽名都將變得無效,為了解決這個問題,前向安全[4]技術被提出,前向安全技術在很大程度上解決了因簽名密鑰泄露而帶來的嚴重危害,如在文獻[5,6]中分別給出了安全的方案. 肖紅光等人提出首個前向安全代理盲簽名方案[7],但該方案的前向安全性僅限于代理私鑰,而簽名并不具備前向安全性,文獻[8]進一步指出該方案不能抵抗原始簽名人的偽造攻擊,同時通過對代理授權方式和盲簽名過程的改進提出了一個新的方案. 張席等提出了一種新的前向安全代理盲簽名方案[9],但該方案不能抵抗偽造攻擊,不具備不可偽造性. Manoj等設計了一個前向安全的代理盲簽名方案[10],文獻[11]中發現該方案在代理授權和代理盲簽名階段均存在偽造攻擊,并基于離散對數給出了改進的前向安全代理盲簽名方案,改進后方案的特點是在代理授權階段將單向散列函數嵌入到簽名中,并對簽名階段進行了改進. 周萍等人基于二次剩余難題,提出兩種前向安全的代理盲簽名方案[12],隨后在其博士論文中[13]對其進行了改進,經分析發現無論是原方案還是改進后的方案,都存在信息擁有者對信息進行否認的問題,因為整個方案中沒有信息擁有者的私鑰信息,信息擁有者可以否認簽名所用的信息是自己提供的,針對周萍等人方案(以下簡稱ZP方案)存在的安全問題,本文提出一種改進方案,改進的方案中信息擁有者無法否認自己提供的信息,信息擁有者參與了簽名的過程,改進的方案既保持了原方案的優點,又能防止信息擁有者否認,從而使方案具有更好的實用性.

1 ZP方案

ZP方案回顧,方案的參與者包括： 原始簽名者A,代理簽名者B、信息擁有者C,mw是授權證書,內容包含A和B的身份、授權代理簽名的權限、范圍和代理簽名有效期等信息,將有效周期劃分為T個時間段.

1.1 系統參數

選擇一個q階的元,其中Qn是中所有模n平方剩余數構成的乘法子群.A任意選取三個大素數q,q1,q2,并且計算出,并將n1通過安全信道發送給B.B也任意選取兩個大素數p3和p4,并且計算并且將n2和n通過安全信道發送給A. 選擇兩個抗強碰撞安全單向哈希函數：

原始簽名者A任意選擇一個xA作為自己的私鑰,,計算出公鑰

代理簽名者B任意選擇一個xB作為自己的初始私鑰,,計算出公鑰,,其中T為代理簽名者B簽名密鑰有效期內劃分的時間段數. 再選擇公私鑰對,且,然后B將yB和發送給原始簽名者A.

信息擁有者C任意選擇一個xC作為自己的私鑰,,計算出公鑰

原始簽名者A公開系統的參數并且A和B刪除

1.2 代理授權

(1) 原始簽名者A任意選取kA,,計算：然后將通過秘密信道發送給代理簽名者B.

(2) 代理簽名者B收到原始簽名者A發送來的后,驗證等式是否成立,如果不成立,要求原始簽名者A重新發送授權信息,或者代理簽名者B停止代理,如果成立,則接受原始簽名者A發送的代理授權信息,并且計算

1.3 更新代理密鑰

1.4 代理盲簽名生成

設C擁有信息m,需要B代表A對m進行簽名,A,B,C三者共同通過以下步驟完成對m的代理盲簽名.

(1) 代理簽名者B任意選擇兩個數,并且計算,然后將通過秘密信道發送給信息擁有者C.

(2) 信息擁有者C任意選擇三個隨機數,秘密保存,并且計算：,,若rC=0,則C必須從新選擇α,β,λ直到為止. 計算：,并且將e'通過安全信道發送代理簽名者B.則s'就是代理簽名者B對信息m的盲簽名,將s'通過安全信道秘密發送給信息擁有者C.

(3) 代理簽名者B收到e'后,計算m的盲簽名是：

(4) 信息擁有者C收到s'后,計算,最后得到代理簽名者B對信息

1.5 驗證簽名

(1) 驗證人首先根據授權信息mw檢查簽名授權信息是否正確,如m是否在授權簽名信息的有效范圍內、代理簽名權是否過期、代理權限是否在有效范圍內等,如果簽名授權信息mw不正確,則否認簽名.

(2) 在驗證授權信息mw正確后,計算：,然后比較等式是否成立. 如果成立,則是信息m的有效代理盲簽名.

2 ZP方案安全性分析

對ZP方案的正確性、強盲性、前向安全性以及代理簽名安全性的分析請參見文獻[10],此處只對不可否認性從三個方面進行分析.

(1) 原始簽名人不能否認自己對代理簽名人的授權,即不能否認自己的簽名授權,在代理授權階段,中包含了原始簽名者A的私鑰xA,并且在驗證過程中用到了原始簽名者A的公鑰,所以原始簽名者A無法否認自己的簽名授權.

(2) 代理簽名人不能否認自己的代理簽名,即代理簽名人不能對自己的代理簽名進行否認,在代理盲簽名生成階段,和中包含了代理簽名者B的簽名密鑰為,并且在驗證的過程中用到了代理簽名者B的公鑰,所以,代理簽名人不能對自己的代理簽名進行否認.

(3) 信息擁有者C能對簽名進行否認,即信息擁有者C否認提供信息m用于簽名,因為在整個簽名過程中沒有用到信息擁有者C的私鑰.

通過分析發現,ZP方案中原始簽名者無法否認自己的簽名授權,代理簽名人不能對自己的代理簽名進行否認,但信息擁有者可以對簽名的信息進行否認,否認自己提供過信息m用于簽名.

3 ZP方案的改進

針對ZP方案中存在的安全問題,提出一種改進方案,改進方案中的系統參數、代理授權、更新代理密鑰與原方案相同.

3.1 代理盲簽名生成

A,B,C三者共同通過以下步驟完成對m的代理盲簽名.

(1) 代理簽名者B任意選擇兩個數,,并且計算：,,然后將通過秘密信道發送給信息擁有者C.

(2) 信息擁有者C任意選擇三個隨機數秘密保存,并且計算：,若,則C必須從新選擇α,β,λ直 到為止. 計算：,并且將e’通過安全信道發送代理簽名者B.

(3) 代理簽名者B收到e'后,計算,則s'就是代理簽名者B對信息m的盲簽名,將s'通過安全信道秘密發送給信息擁有者C.

(4) 信息擁有者C收到s'后,計算：,最后得到代理簽名者B對信息m的盲簽名是

4 改進方案的安全性分析

新方案的強盲性、前向安全性以及代理簽名安全性的分析請參見文獻[10],此處只對正確性和信息擁有者C的不可否認性進行分析.

4.1 正確性分析

證明： 因為：

所以：

代理簽名者B收到原始簽名者A發送來的后,驗證等式是否成立,由：

所以等式成立.

由簽名過程知：

又因為：

所以：

即得到：

根據式子求rC：

所以：

4.2 信息擁有者C的不可否認性分析

在簽名形成過程中,信息擁有者C任意選擇三個隨機數對信息m進行盲化,由知道簽名中包含了信息擁有者C的私鑰xC,所以,代理簽名人無法否認自己的簽名,信息擁有者也無法否認信息被簽名.

5 結束語

文章分析了ZP等人提出的前向安全代理盲簽名方案,并給出了改進方案,經安全分析表明,改進后的方案不僅保留了原方案的優點,而且解決了信息擁有者可以對信息進行否認的問題,可實現特殊應用領域的要求,應用領域較廣.

1Diffie W,Hellman ME. New directions in cryptography.IEEE Transactions on Information Theory,1976,22(6)：644-654. [doi： 10.1109/TIT.1976.1055638]

2Chaum D. Blind signatures for untraceable payments. In：Chaum D,Rivest RL,Sherman AT,eds. Advances in Cryptology. New York. Plenum Press. 1983. 199-233.

3Mambo M,Usuda K,Okamoto E. Proxy signatures for delegating signing operation. Proceedings of the 3rd ACM Conference on Computer and Communications Security.New Delhi,India. 1996. 48-57.

4Anderson R. Two remarks on public key cryptology. Invited Lecture,4th Annual Conference on Computer and Communications Security. New York,NY,USA. 1997.

5李運發,鄒德清,韓宗芬,等. 基于前向安全的組簽名體制研究. 計算機研究與發展,2006,43(12)： 2069-2075.

6曹正軍,劉麗華. 兩個指定驗證人簽名方案的安全性分析.軟件學報,2008,19(7)： 1753-1757.

7肖紅光,譚作文,王鍵. 一種前向安全的代理盲簽名方案.通信技術,2009,42(5)： 193-196.

8何濱,杜偉章. 前向安全代理盲簽名方案的分析及改進. 計算機工程與應用,2015,51(18)： 104-108,164. [doi： 10.3778/j.issn.1002-8331.1310-0066]

9張席,杭歡花. 前向安全的代理盲簽名方案. 計算機工程與應用,2010,46(24)： 101-103,145. [doi： 10.3778/j.issn.1002-8331.2010.24.030]

10Manoj KC,Balwant ST. An improved proxy blind signature scheme with forward security. International Journal of Computer Applications,2014,85(15)： 1-4. [doi： 10.5120/149 14-3321]

11劉二根,王霞. 前向安全代理盲簽名方案的分析與改進. 華東交通大學學報,2015,32(6)： 110-114.

12周萍,何大可. 兩種具有前向安全性質的代理盲簽名方案.計算機工程與應用,2012,48(5)： 51-53,155.

13周萍. 特殊數字簽名體制的研究[博士學位論文]. 成都： 西南交通大學,2013. 111-116.