一種格上基于身份的群簽名

王黎

摘 要 本文提出了一個格上基于身份的群簽名方案，通過引入一個可信的第三方（KGC），由KGC利用固定維數的格基委派技術來實現密鑰的提取與分發，給出了一個高效的基于身份的群簽名方案。

關鍵詞 數字簽名 格 群簽名

中圖分類號：TP309 文獻標識碼：A

0引言

群簽名允許成員代表群進行簽名，驗證者只能判斷簽名是否為該群的合法簽名，而無法確定真正的簽名者。當發生爭議時，管理員可使用所掌握的追蹤密鑰找到真正的簽名者。由于同時具有匿名性和可追蹤性，群簽名在電子投票、電子現金等領域有著廣泛的應用。

1本文方案

設用戶身份，系統參數為，。

1.1系統建立

KGC運行得到矩陣以及格的一組基，運行得到個矩陣。并選取抗碰撞的哈希函數。

1.2密鑰提取

每個用戶可以根據自己的身份信息向KGC索取自身密鑰。KGC接收到申請后，根據的每一位選擇，并計算，令。而后運行，得到對應的一組基，并將發送給用戶，即為該用戶的簽名私鑰。

1.3成員加入

設群中原有個成員，當用戶申請加入時，先要和管理員進行一個交互式的協議：

（1）在接收到用戶的加入申請后，群管理員隨機選擇向量并發送給用戶；

（2）用戶接收到后，首先隨機選擇一個向量，然后運行算法

得到滿足

原像，并發送給群管理員。

（3）群管理員根據用戶的身份信息及系統公鑰計算矩陣，，如果向量滿足條件和，則群管理員接受該用戶為群成員，并利用算法生成隨機矩陣及格對應的短基，則有。管理員更新公鑰為，更新追蹤密鑰為，并更新成員列表。

1.4簽名

對于消息，群成員選擇一個隨機向量。當時，群成員利用算法得到滿足的原像；當時，選擇任意滿足的向量。然后，對于所有的，隨機選擇向量，并計算。最后構造一個NIWI證明，并輸出對消息的群簽名。

1.5驗證

驗證者接收到簽名后，首先根據時間，選取對應時間的群成員的身份信息并計算出相應的公鑰。如果NIWI證明是正確的，并且對于時刻的所有有成立，則驗證通過。

1.6打開

群管理員對于發生爭議的簽名，利用追蹤密鑰計算出使得成立的最小的，則成員為簽名者。

1.7成員撤銷

如果要撤銷群成員，則群管理員需要更新群成員列表并更新群公鑰為

2方案分析

2.1正確性

設是一個合法的群簽名，那么顯然是一個正確的NIWI證明，并且對于所有的，有

成立。因此該方案是正確的。

2.2不可偽造性

在不擁有簽名私鑰的情況下，構造出一個合法的群簽名在計算上是不可行的，其困難性與偽造一個GPV簽名難度等價。而如果攻擊者想通過群成員對應的公鑰推導出其對應的簽名私鑰就面臨著求解一個SIVPr實例。

參考文獻

[1] Gordon，S.D&J.Katz;&V.Vaikuntanathan.A; group signature scheme from lattice assumptions[M].Advances in Cryptology-ASIACRYPT 2010. Springer Berlin Heidelberg， 2010： 395-412.

[2] Gentry，C&C.Peikert;&V.Vaikuntanathan.Trapdoors; for hard lattices and new cryptographic constructions[C]. Proceedings of the fortieth annual ACM symposium on Theory of computing. ACM， 2008： 197-206.