一種具有魯棒性的無證書部分盲簽名

曾麗，李旭東

（西華大學理學院，成都610039）

0 引言

部分盲簽名的定義首次被Abe和Fujisaki[1]在1996年提出，次年，Abe等人[2]中又給出了具體的基于RSA和Schnorr算法的部分盲簽名方案。部分盲簽名不僅是盲簽名的進一步發展，更是很好地解決了盲簽名存在的問題。與盲簽名的不同之處在于，它可以填加一些雙方已經協商好的信息，如簽名周期、簽名時間等。這樣即保證了代簽消息的部分盲性，也保證了簽名者的合法權益。

2008年，榮維堅[3]結合無證書密碼體制，第一次提出無證書的部分盲簽名方案，但未證明該方案的不可偽造性。2010年，余丹等人[4]榮方案的存在的問題，提出了改進的部分盲簽名方案。在此期間，一些基于不同算法的無證書部分盲簽名的方案相繼被提出[5-9]，這部分方案中，大多是都采用了雙線性對，這種運算計算開銷大。2012年，邵國金等人[10]提出一種基于橢圓曲線DLP的無證書部分盲簽名方案，該方案大大降低了簽名和簽名驗證過程中的計算開銷。2016年，趙振國[11]針對文獻[10]所提出的方案不能提供不可偽造性這一問題，提出了新的無證書部分盲簽名方案。

本文對文獻[11]通過公共信息被篡改具體的攻擊，指出該方案存在安全問題：惡意用戶可以在毫不被察覺的情況下，更改公共信息（雙方事先協商好的部分），讓簽名者的權益受到威脅，失去對消息的可控性。本文針對這個問題，提出了一個改進的方案，改進的方案不僅能夠抵抗公共信息被篡改，在滿足部分盲性、不可偽造性等安全性需求的同時，計算效率還得到了進一步提高。

1 預備知識

（1）橢圓曲線的離散對數問題

給定定義于有限域Fq上的橢圓曲線E，選擇一個點P∈E(Fq)作為基點，P的階數為素數n，Q∈P，對于任意的a∈，給定P，由Q=aP計算a。整數a稱為Q的基于P的離散對數，表示為a=。

（2）計算Diffie-Hellman問題

2 方案的回顧

2.1 方案的回顧

文獻[11]中的無證書部分盲簽名方案由以下四個協議構成：

（1）設置

設 p、q是兩個大素數，G是由E(Fp)是橢圓曲線上的點組成的階為q加法群；

P0=sP為KGC的公鑰，其中，s∈是KGC的主密鑰，P是G是的一個基點。H1、H2、H3是安全的單向散列函數，H1：{0 ,1}?×G→，H2：{0 ,1}?×{0 ,1}?×G→，H3：{0 ,1}?×{0 ,1}?×G×G×G→。 系統公布參數{p,q,E(Fp),G,P0,H1,H2,H3}。

（2）密鑰設置

簽名者B將其身份IDB發送給KGC，KGC隨機選擇 yB∈，計 算YB=yBP ，qB=H1(IDB,YB)和dB=yB+sqB，KGC 返回dB、YB，dB、YB分別作為 B的部分私鑰、部分公鑰。B選擇任意的xB∈作為其私有秘密，計算XB=xBP，并且輸出B的私鑰SB=(xB,dB)和公鑰PB=(YB,XB)。

（3）簽名協議

用戶A請求簽名者B對消息m簽名，c是雙方共同協商的公共信息，簽名過程如下：

Step3.簽名（階段2）：簽名者B計算k=H3(c,IDB,XB,YB,P0)，v=r-u(kxB+dB)，將v返回給A；

Step4.去盲：A收到 v后，計算 w=βv+α，則(h,w)是(m,c)的部分盲簽名。

（4）簽名驗證

驗證者通過計算qB=H1(IDB,YB)，k=H3(c,IDB,XB,YB,P0)和T=h(kXB+YB+qBP0)+wP來驗證等式h=H2(m,c,T)是否成立。如果等式成立，則接受簽名，反之亦然。

2.2 方案的分析

通過分析，文獻[11]方案存在公共信息被惡意篡改的問題。假設攻擊者將公共信息c修改為c1（c≠c1），利用自己偽造的c1執行簽名過程，如下：

用戶A請求簽名者B對消息m簽名，c1是雙方共同協商的公共信息，簽名過程如下：

Step3.簽名（階段2）：簽名者B計算k?=H3(c1,IDB,XB,YB,P0)，w?=r-u?(k?xB+dB)，將 v?返回給A；

Step4.去盲：A收到 v?后，計算 w?=βv?+α，輸出對(m,c1)的部分盲簽名 (h?,w?)

驗證過程：

因此，驗證者也可以驗證(m,c1)的部分盲簽名(h?,w?)是有效合法的，在不被察覺的情況下，惡意的用戶就將協商好的公共信息進行了篡改。

3 新的無證書部分盲簽名方案

針對文獻[11]中存在的問題——任意篡改公共信息，本文在原方案的基礎上進行了改進，改進方案的密鑰產生算法與文獻[11]相同，在設置中增加了安全的散列函數H4。密鑰設置、簽名協議和簽名驗證如下。

3.1 設置

設 p、q是兩個大素數，G是由E(Fp)是橢圓曲線上的點組成的階為q加法群；

P0=sP為KGC的公鑰，其中，s∈是KGC的主密鑰，P是G是的一個基點。H1～H4是安全的散列函數 ， H1：{0 ,1}?×G→， H2：{0 ,1}?×{0 ,1}?×G→，H3：{0 ,1}?×{0 ,1}?×G×G×G→，H4：E(Fp)→。系統公布參數{p,q,E(Fp),G,P0,H1,H2,H3,H4}。

3.2 密鑰設置

簽名者B將其身份IDB發送給KGC，KGC隨機選擇yB∈，計 算YB=yBP ，qB=H1(IDB,YB)和dB=yB+sqB，KGC返回dB、YB，dB作為B的部分私鑰，YB作為B的部分公鑰。B隨機選擇xB∈Zq*作為其私有秘密，計算XB=xBP，并且輸出B的私鑰SB=(xB,dB)和公鑰PB=(YB,XB)。

3.3 簽名協議

用戶A請求B對消息m簽名，c是雙方共同協商的公共信息，簽名過程如下：

Step3.簽名（階段2）：簽名者B計算k=H3(c,IDB,XB,YB,P0)，v=rz-u(kxB+dB)，將v返回給A；

Step4.去盲：用戶收到 v后，計算w=βv+α，輸出對(m,c)的部分盲簽名(h,w)。

3.4 簽名驗證

驗證者計算qB=H1(IDB,YB)，k=H3(c,IDB,XB,YB,P0)和 z=H4(c)，驗證等式wP+h(kBXB+YB+qBP0)=L是否相等。若相等，則接受簽名，否則拒絕。

4 新方案分析

4.1 正確性

新方案的正確性證明如下：

4.2 部分盲性

針對本文使用的兩個盲化因子α,β∈Zq*，如果簽名者私自保留了u，由于H2是一個安全的哈希函數，簽名者不能從h=H2(m,c,L)中恢復出信息m。考慮到以下三個式子：

一定存在唯一的 β=hu-1使式（2）成立。如果任意一個簽名(h,w)是有效的，可以計算出唯一的α=w-hu-1v，使得 wP+h(kBXB+YB+qBP0)=L=αP+zβR成立。因此，盲因子α,β一直存在于在部分盲簽名中。根據文獻[11]中定義1，由于α,β一直存在，所以攻擊者贏得游戲的優勢可以忽略。因此，改進的方案能夠滿足部分盲性。

4.3 不可偽造性

一般情況下，簽名者的私鑰只有自己知道，假設攻擊者AI通過訪問獲取了系統的三個參數(s,dB,PB)，但是他不知道xB。攻擊者 AI如果想從XB=xBP獲取xB，則他需要解決DLP困難問題。因此不可能獲取SB，無法偽造出有效簽名。

假設攻擊者將公共信息c修改為c1（c≠c1），攻擊者利用自己偽造的公共信息c1執行改進方案的簽名協議。由于協商的公共信息和簽名人的私鑰綁定在一起，如果想篡改c，那么他需要解決CDHP困難問題，顯然也是不可性的，所以改進后的方案能夠抵擋攻擊者惡意篡改公共信息c。

4.4 效率分析

改進的方案與文獻[10-11]中的方案進行比較，求解時作出以下假設：p為1024比特；q為160比特；n為1024比特；安全單向哈希函數的輸出大小為160比特；H、M和E分別表示哈希函數計算時間、橢圓曲線點加的計算時間和點乘的計算時間。在計算機仿真實驗中，操作系統采用Windows 7系統，CPU主頻率為3.40GHz，內存為4GB。通過編程實現了橢圓曲線密碼所需要的各種運算，其中：H≈0.0001ms，E≈0.442ms，M≈0.0018ms。結果見表1。由于多次使用哈希生成值來代替橢圓曲線上的點乘運算，所以計算性能優于文獻[10]和文獻[11]。

表1 改進后的方案與其他方案的計算效率比較

5 結語

本文對趙振國提出的可證安全的無證書部分盲簽名機制進行了分析，發現該方案并不安全，不能夠承受公共信息被篡改的攻擊，本文為了解決這個問題，在文獻[11]的基礎上，提了一個改進的方案，通過分析表明，新提出的方案是正確的，滿足不可偽造性和部分盲性，方案的總體安全級別高于同類方案，并且在效率上比邵的方案和趙的方案更具有優勢，具有廣泛的應用。