基于橢圓曲線的強無證書盲簽名方案

曾麗 李旭東

摘 要：通過對劉二根等提出的無證書盲簽名方案的分析，發(fā)現(xiàn)該方案在驗證過程中比黃如芬等提出的方案耗時長，生成密鑰所占內(nèi)存大等問題，提出一種基于橢圓曲線離散對數(shù)難題（ECDLP）的無證書部分盲簽名算法。該算法采用橢圓曲線上的點乘運算代替雙線性對運算，提高了簽名和驗證過程中的計算效率（節(jié)約了 ），并對改進后的方案作了安全性分析。對比其他三種同類型的方案，結果表明，改進后的方案計算開銷遠遠低于其它幾種同類型的方案，具有廣泛實用價值。

關鍵詞：無證書；盲簽名；橢圓曲線；離散對數(shù)難題

中圖分類號：TP312 文獻標識碼：A

1 引言

盲簽名首先由Chaum于1983年提出[1]。該協(xié)議用來獲得簽名者對消息的簽名，但是簽名者既不能獲得所簽名消息的內(nèi)容，也不能識別出用戶隨后獲得的簽名是由自己簽出的。由于不法分子利用簽名者完全不知道所簽署內(nèi)容這一特點，使得一些違法行為如偷稅漏稅、黑市交易洗錢等難以監(jiān)管。為了能很好地克服盲簽名的這一缺點，Abe和Fujisaki于1996年提出了部分盲簽名的概念[2]。

1984年，Shamir[3]提出了基于身份公鑰密碼體制。基于身份公鑰密碼體制較好地解決了傳統(tǒng)公鑰密碼系統(tǒng)中公鑰證書的存儲和管理問題。但是這又帶來了一個新的安全隱患——密鑰托管問題。針對這一問題，2003年的亞密會議上，Al-Riyami和Perterson[4]提出了一種新的公鑰密碼體制成為無證書的公鑰密碼體制（簡記CL-PKC），將盲簽名與無證書公鑰密碼體制相結合可以產(chǎn)生無證書盲簽名[5-10]。2012年，黃茹芬等人[7]提出了一個基于inv-CDH問題和q-SDH問題的無證書盲簽名方案，但通過分析發(fā)現(xiàn)其存在公鑰替換攻擊這一漏洞。2017年，劉二根等人在黃茹芬等提出方案的基礎上進行了改進，解決漏洞帶來的安全隱患，并對在隨機預言機模型存在不可偽造性進行了證明，但是在計算效率上并沒有很大的提高。因此，本文在前兩者的基礎上，利用橢圓曲線加密算法，構造一個高效的無證書盲簽名方案，并對該方案的安全性給出了證明。

5.2 方案具有安全性

定理2 所提出的無證書盲簽名方案滿足盲性

證明：假設無證書盲簽名為（m，S，h），任意一組盲簽名發(fā)布過程產(chǎn)生的視圖（U，h'，S'）。隨機選取盲化因子，下面等式成立：

存在唯一的使得（1-2）式成立。因此，改進后的方案具有盲性。

定理3 改進的無證書盲簽名方案可以抵御偽造攻擊

證明：在改進方案中，使用SHA作為哈希函數(shù)。散列函數(shù)的屬性表明，從消息摘要（或散列值）中提取消息是不可行的。給定Yi和G，從等式計算xi是不可行的。解決這個問題的難點是基于橢圓曲線離散對數(shù)問題。為了通過驗證式（1-2），攻擊者必須從α和β中隨機選擇任意兩個值并計算第三個值。如果攻擊者隨機選擇α，β，那么找到h是可行的，因為散列函數(shù)是不可逆的。再次，如果他選擇h和α或β，那么找到β或α也是不可行的。給定有效簽名（s，h），以這種方式導出另一個有效簽名（s'，h'）是不可行的，得到滿足。

定理4 所提出的無證書盲簽名方案可以承受僅有鑰匙的攻擊

證明：一個有效的簽名對必須由攻擊者組成，以使得唯一簽名攻擊成為可能。假設攻擊者能夠創(chuàng)建簽名對。然而攻擊者將無法解開簽名對，因為他需要參數(shù) 和 。但是由于ECDLP，提取這兩個參數(shù)是不可能的。

定理5 所提出的無證書盲簽名方案可以抵抗已知的消息攻擊

證明：在已知消息攻擊中，攻擊者可以訪問一個或多個消息簽名對，并可以為他的消息生成無證書盲簽名。所提出的方案可以抵抗已知的消息攻擊。假設攻擊者有一個消息簽名三元組（s，t，m），并且想要為消息m生成簽名。首先，他必須在m上生成盲簽名s'，然后生成無證書盲簽名s"。簽名被發(fā)送給驗證者進行驗證。驗證者將PKG發(fā)給驗證者的公鑰Yi用于消息m。但由于ECDLP問題，他無法攻擊。

6 結束語

在本節(jié)中，預先計算g=e（p，p），并將其作為系統(tǒng)公開參數(shù)發(fā)布，解決了對運算比較費時的問題。本文是在劉二根等方案的基礎上，結合橢圓曲線密碼體制的優(yōu)點，提出一種基于橢圓曲線離散對數(shù)難題（ECDLP）的無證書部分盲簽名算法。新算法采用橢圓曲線上的點乘運算代替雙線性對運算，大大降低了簽名和簽名驗證過程中的計算開銷，簽名過程和驗證過程不需要對運算。將改進后的方案與其他無證書盲簽名協(xié)議進行比較，表1顯示了簽名和驗證階段所需的計算時間和結果。表中P表示對運算；M表示標量乘；E表示指數(shù)運算。根據(jù)參考文獻[10]，可以得到關系式：，，（tm是整數(shù)域上的乘法運算，表示一個基本計算單元）。

結果比較表明，改進后的方案需要較少的計算時間，大約需要1490tm使用160位模塊化橢圓曲線組執(zhí)行簽名和驗證階段，是三方案中耗時最少的一個，比劉等方案節(jié)約了29tm。我們的方案的主要優(yōu)點是不使用配對操作簽署和驗證過程。

基金項目：

1.教育部“春暉計劃”資助（項目編號： Z2017065）；

2.國家自然科學基金資助項目（項目編號：61401369）。

參考文獻

[1] CHAUM D. Bind signature for untraceable payments[C]//Advances in Cryptology-Crypto82. NewYork： SpringerVerlag，1982：199-203.

[2] ABEM，F(xiàn)UJISAKI E. How to date blind signatures[C]//Advances in Cryptology-Asiacrypt96. Kyongju：SpringerVerlag，1996：244-251.

[3] Shamir A.Identity—based crypt9*ysterr and signature schemes[C]//A dvancesin Cryptology—CRYPT084.Berlin：Spr inger—Verlag， 1984：47-53.

[4] Al-Riyami SS Paterson KG. Certificateless public key cryptography. In： Laih CS， ed. Proc. of the ASIACRYPT 2003. LNCS 2894， Berlin： Springer-Verlag， 2003. 452-473.

[5] 梁紅梅，黃振杰.高效無證書簽名方案的安全性分析和改進[J].計算機應用，2010，30（3）：685-687，698.

[6] 邵國金，薛冰，陳明.基于橢圓曲線DLP問題的無證書部分盲簽名機制[J].四川大學學報，2012，1（44）：112-117.

[7] 黃茹芬，農(nóng)強，黃振杰.一個高效的無證書盲簽名方案[J].計算機工程，2013，39（2）：130-136.

[8] 文佳駿，左黎明，李彪.一個高效的無證書代理盲簽名方案[J].計算機工程與科學，2014，36（3）：452-457.

[9] 何俊杰，王娟，祁傳達.對一個無證書盲簽名方案的攻擊與改進[J].數(shù)學的實踐與認識，2014 ，44（4）：123-128.

[10] Sanjeet Kumar Nayak，Sujata Mohanty，and Banshidhar Majhi.CLB-ECC：Certificateless Blind Signature Using ECC [J].J Inf Process Syst，2017，4（13）：970-986.

[11] 劉二根，王霞，周華靜.一種無證書盲簽名方案的分析與改進[J].計算機應用與軟件，2017，2（34）：308-312.