基于無證書密碼體制的失敗-停止環(huán)簽名方案

張玉磊,宋婷婷,張永潔,王彩芬

(1.西北師范大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院,蘭州 730070; 2.甘肅衛(wèi)生職業(yè)學(xué)院,蘭州 730070;3.深圳技術(shù)大學(xué) 大數(shù)據(jù)和網(wǎng)絡(luò)學(xué)院,廣東 深圳 518000)

0 概述

隨著互聯(lián)網(wǎng)中隱私保護(hù)技術(shù)的發(fā)展,環(huán)簽名因具有強(qiáng)匿名性且能夠?qū)τ脩綦[私信息提供有效保護(hù),而在車聯(lián)網(wǎng)、區(qū)塊鏈和數(shù)字貨幣等領(lǐng)域得到廣泛應(yīng)用。2001年,RIVEST等人[1]在亞密會上提出環(huán)簽名思想。與群簽名相比,環(huán)簽名只有環(huán)成員而不存在管理者角色,即使沒有環(huán)成員間的合作也能順利完成簽名,即某個(gè)可能的簽名人生成的簽名均可由任意驗(yàn)證者在不知道簽名者身份的情況下利用公鑰進(jìn)行驗(yàn)證,不僅可實(shí)現(xiàn)對簽名消息的驗(yàn)證,而且保護(hù)了簽名者的身份。由于環(huán)簽名成員身份的模糊性、自發(fā)性和靈活的群結(jié)構(gòu),因此其被廣泛應(yīng)用于Ad Hoc網(wǎng)絡(luò)認(rèn)證、匿名選舉和區(qū)塊鏈等[2-4]應(yīng)用場景,已成為隱私保護(hù)的重要方式。

為滿足車聯(lián)網(wǎng)、區(qū)塊鏈等應(yīng)用場景的安全性需求,環(huán)簽名也衍生出多種簽名形式。2018年,李佩麗等人[5]提出區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)互助中的應(yīng)用及用戶隱私保護(hù)方案,張凡等人[6]提出基于Borromean環(huán)簽名的隱私數(shù)據(jù)認(rèn)證方案。2019年,任艷麗等人[7]提出基于門限環(huán)簽名的可刪除區(qū)塊鏈。他們都將環(huán)簽名的思想應(yīng)用到區(qū)塊鏈中,充分發(fā)揮了環(huán)簽名的無條件匿名性和不可追蹤性。隨著攻擊者能力的增強(qiáng),為防止具有強(qiáng)計(jì)算能力的攻擊者成功偽造簽名,WILLY等人[8-10]提出失敗-停止簽名方案。失敗-停止方案的優(yōu)勢在于即使有非常強(qiáng)的對手偽造簽名,簽名者也能以絕對概率證明簽名是偽造的,與此同時(shí)還能中斷偽造者的后續(xù)操作。2014年,YAMAKAWA等人[11]提出基于因子分解的短失敗-停止簽名方案,基于因子分解的簽名方案通常都具有可靠性高的特點(diǎn),但是簽名長度需大于n,其中n為底層復(fù)合數(shù)長度。2018年,HSU等人[12]在群簽名基礎(chǔ)上增加失敗-停止特性提出失敗-停止群簽名方案,但是群簽名自身簽名特性的缺陷導(dǎo)致在使用過程中的匿名安全性較低。在某些特定簽名環(huán)境下,需要知道兩個(gè)簽名是否由同一個(gè)簽名者產(chǎn)生,既保護(hù)了個(gè)人隱私,又避免了重復(fù)簽名,為此LIU等人[13-14]提出關(guān)聯(lián)環(huán)簽名方案(LSAG)的初步概念。之后可自主選擇關(guān)聯(lián)性在一些方案中開始逐步應(yīng)用,例如張瑞麗等人[15]于2014年提出的基于可鏈接環(huán)簽名的電子消費(fèi)方案,AU等人[16]于2013年提出的基于安全I(xiàn)D的可鏈接可撤銷環(huán)簽名以及張文芳等人[17]于2017年提出的基于RSA公鑰密碼體制和曹素珍等人[18]于2019年提出的基于DLP的可選擇可轉(zhuǎn)換關(guān)聯(lián)環(huán)簽名方案。上述方案都給傳統(tǒng)數(shù)字簽名增加了新的特征,使其能夠更好地適應(yīng)復(fù)雜的簽名場景,但是上述方案存在證書管理開銷大和密鑰保管安全性低等問題,因此數(shù)字簽名在使用過程中受到了一定的限制。

無證書密碼體制有效解決了身份密碼體制中的密鑰托管問題和公鑰密碼體制中的證書管理問題,即簽名私鑰由密鑰生成中心(Key Generation Center,KGC)和簽名用戶共同產(chǎn)生。一直以來很多學(xué)者對此做了大量研究和探索并取得了顯著成果,例如CHANG等人[19]于2009年提出的無證書門限環(huán)簽名方案和劉純璐等人[20]于2019年提出的關(guān)聯(lián)無證書環(huán)簽名方案。本文方案結(jié)合無證書密碼體制、環(huán)簽名和失敗-停止簽名的優(yōu)勢,設(shè)計(jì)一種基于無證書密碼體制的失敗-停止環(huán)簽名方案。該方案增加了可選擇關(guān)聯(lián)性,并且由于在密鑰產(chǎn)生過程中去除了群管理員的參與,整個(gè)簽名過程由簽名者獨(dú)立完成,因此提高了方案安全性,這對于需要強(qiáng)匿名性的電子投票、匿名選舉等應(yīng)用場景顯得尤為重要。

1 無證書失敗-停止環(huán)簽名方案

1.1 無證書失敗-停止環(huán)簽名形式化定義

無證書失敗-停止環(huán)簽名方案的參與者包括密鑰產(chǎn)生中心KGC、環(huán)成員ui(i=1,2,…,n)、實(shí)際簽名者us和簽名驗(yàn)證者uv。簽名過程由初始化算法Setup、部分密鑰提取算法Genkeypart、秘密值生成算法Genkeysecret、私鑰生成算法Genkeysk、公鑰生成算法Genkenpk、簽名算法Ringsign和簽名驗(yàn)證算法Vertify這7個(gè)算法組成。

1)初始化算法Setup:輸入安全參數(shù)k,得到安全參數(shù)集合params,并且公開params。

2)部分密鑰提取算法Genkeypart:根據(jù)給定的環(huán)簽名用戶身份IDi,密鑰產(chǎn)生中心計(jì)算出部分密鑰bi,并且將bi發(fā)送給環(huán)簽名用戶。

3)秘密值生成算法Genkeysecret:用戶隨機(jī)選擇秘密值xi。

4)私鑰生成算法Genkeysk:環(huán)簽名用戶收到部分私鑰和秘密值,并且令ski為簽名私鑰。

5)公鑰生成算法Genkenpk:根據(jù)用戶私鑰計(jì)算公鑰pki并公開pki。

6)環(huán)簽名算法Ringsign(m,n,L,sks):輸入待簽名消息m,環(huán)成員數(shù)量n,公鑰集合L和簽名者私鑰sks,最后輸出消息m的簽名σ。

7)驗(yàn)證算法Vertify(m,n,L,σ):簽名σ和消息m,由任何一個(gè)驗(yàn)證者用公鑰驗(yàn)證簽名是否有效,返回簽名驗(yàn)證狀態(tài)status;若status為1,則簽名有效,否則簽名無效。

1.2 無證書失敗-停止環(huán)簽名安全模型

一個(gè)多項(xiàng)式時(shí)間敵手以可忽略的概率贏得與挑戰(zhàn)者之間的安全游戲,則稱方案∏滿足自適應(yīng)選擇消息攻擊下的不可偽造性(Existential UnForgeability against adaptive Chosen-Message Attacks,EUF-CMA)。方案∏的EUF-CMA攻擊游戲GAME1過程如下:

1)開始運(yùn)行系統(tǒng)初始化

2)詢問過程

3)偽造

方案∏的EUF-CMA攻擊游戲GAME2過程如下:

1)開始運(yùn)行系統(tǒng)初始化

2)詢問過程

與GAME1相同,可對GAME2進(jìn)行哈希詢問h0和h1、公鑰詢問及簽名詢問,但是需要注意GAME2不能進(jìn)行公鑰替換詢問和部分私鑰詢問。

3)偽造

簽名私鑰為ski(i=1,2,…,n),所有環(huán)成員的公鑰集合為L={pk1,pk2,…,pkn},如果對于任意的pki、消息m及生成的簽名σ(m),概率多項(xiàng)式時(shí)間算法P輸出的i滿足sk=ski(i=1,2,…,n)的概率僅為1/n,則稱該環(huán)簽名方案具有強(qiáng)匿名性。

2 無證書失敗-停止環(huán)簽名方案的具體實(shí)現(xiàn)

無證書失敗-停止環(huán)簽名方案由以下7個(gè)算法組成:

2)部分密鑰提取算法Genkeypart:輸入環(huán)簽名用戶ui身份IDi,計(jì)算θi=h0(IDi),KGC計(jì)算出部分密鑰bi=γθi,并將bi通過保密信道發(fā)送給環(huán)簽名用戶ui。

4)私鑰生成算法Genkeysk:ui收到部分密鑰bi和秘密值xi,令ski=(xi,bi)為簽名私鑰。

5)公鑰生成算法Genkenpk:根據(jù)環(huán)簽名用戶私鑰ski=(xi,bi),計(jì)算出公鑰pki=yi=gxi,將公鑰pki公開。

6)簽名算法Ringsign:

(1)設(shè)簽名用戶私鑰為sks=(xs,bs),待簽名消息m∈{0,1}*,簽名用戶公鑰為ys=gxs,n個(gè)環(huán)簽名用戶公鑰集合L={pk1,pk2,…,pkn}。

vis+1=h1(m‖j,vs)

vis+2=h1(m‖j,vis+1⊕mis+1)

?

vis-1=h1(m‖j,vis-2⊕mis-2)

vis=h1(m‖j,vis-1⊕mis-1)

3 無證書失敗-停止環(huán)簽名方案分析

3.1 正確性

假設(shè)KGC可信,如果方案中所有參與環(huán)簽名用戶ui的簽名驗(yàn)證等式和環(huán)驗(yàn)證等式均成立,則無證書失敗-停止環(huán)簽名方案滿足正確性。

1)通過簽名過程可得m+r6s=csEs+es(modN)和Es=gesmodp0,所以有g(shù)m+r6s=gcsEs+esmodp0,gcsEs+es=gcsEsEsmodp0,即驗(yàn)證等式gm+r6s=gcsEsEsmodp0成立。

3)環(huán)簽名驗(yàn)證等式具體如下:

vis+1=h1(m‖j,vs)

vis+2=h1(m‖j,vis+1⊕mis+1)

?

vis-1=h1(m‖j,vis-2⊕mis-2)

vis=h1(m‖j,vis-1⊕mis-1)

?

vi0=h1(m‖j,mi0+n-1⊕h1(m‖j,mi0+n-2⊕

h1(m‖j,…⊕h1(m‖j,m⊕vi0)…)))

若以上驗(yàn)證等式成立,則表明本文無證書失敗-停止環(huán)簽名方案滿足正確性。

3.2 不可偽造性

1)哈希詢問

2)部分私鑰詢問

3)密鑰值詢問

4)公鑰詢問

5)公鑰替換詢問

6)簽名詢問

3.3 強(qiáng)匿名性

定理3本文方案具備強(qiáng)匿名性。

此外,由于簽名過程中所有環(huán)成員的關(guān)系呈環(huán)狀分布,因此滿足環(huán)驗(yàn)證等式vi0=h1(m‖j,mi0+n-1⊕h1(m‖j,mi0+n-2⊕h1(m‖j,…⊕h1(m‖j,m⊕vi0)…)))。而對于環(huán)外驗(yàn)證者而言,能夠猜出真實(shí)簽名者的概率不超過1/n,環(huán)內(nèi)成員猜出真實(shí)簽名者的概率不超過1/n-1,因此本文方案滿足強(qiáng)匿名性。

3.4 可選擇關(guān)聯(lián)性

4 性能分析

本節(jié)將本文方案與文獻(xiàn)[12,17-18,21]方案進(jìn)行比較,運(yùn)算符號定義如表1所示。安全性、匿名性、關(guān)聯(lián)性以及簽名與驗(yàn)證開銷4個(gè)方面的比較結(jié)果如表2所示。

表1 運(yùn)算符號定義Table 1 Operation symbol definition

表2 方案匿名性及效率比較Table 2 Comparison of scheme anonymity and efficiency

本文方案和文獻(xiàn)[17]方案都具有強(qiáng)匿名性和選擇關(guān)聯(lián)性,但是文獻(xiàn)[17]方案所依賴的困難問題是基于RSA公鑰密碼體制的大整數(shù)分解問題,密鑰尺寸較大,運(yùn)行效率較低。本文方案和文獻(xiàn)[12,18]方案依賴的困難問題均為離散對數(shù)問題,但相比文獻(xiàn)[18]方案在安全性、匿名性和關(guān)聯(lián)性相同的情況下,本文方案的簽名與驗(yàn)證開銷相對較小,并且文獻(xiàn)[12]方案在簽名長度相同的情況下,僅具備弱匿名性而不具有選擇關(guān)聯(lián)性,同時(shí)其簽名過程需要群管理員的參與,可能存在安全隱患。另外,文獻(xiàn)[21]方案只具備計(jì)算匿名性,簽名與驗(yàn)證開銷也高于本文方案。綜合上述對比,本文提出的無證書失敗-停止環(huán)簽名在保證關(guān)聯(lián)性和強(qiáng)匿名性的同時(shí),其失敗-停止機(jī)制使得具有強(qiáng)計(jì)算能力的攻擊者無法偽造出合法簽名,安全性相對較高,且計(jì)算開銷較小。

5 結(jié)束語

本文在失敗-停止群簽名方案基礎(chǔ)上設(shè)計(jì)了一種無證書失敗-停止環(huán)簽名方案,增加了強(qiáng)匿名性和可選擇關(guān)聯(lián)性,并且在隨機(jī)預(yù)言機(jī)模型下證明其安全性。性能分析結(jié)果表明,與同類環(huán)簽名方案相比,本文方案提高了安全性及降低了簽名驗(yàn)證開銷。下一步將以失敗-停止環(huán)簽名技術(shù)為基礎(chǔ),面向車聯(lián)網(wǎng)和區(qū)塊鏈等應(yīng)用場景提出具有良好擴(kuò)展性的簽名認(rèn)證方案,進(jìn)一步降低通信消耗并提高簽名驗(yàn)證效率。