付晓鹃

基于ElGamal签名体制中签名方程的变形方程设计了一个强盲签名方案，实现了无条件的不可追踪性和匿名性。方案安全性基于求解离散对数的困难性。

强盲签名（完全盲签名）数字签名不可追踪性匿名性ElGamal

1引言

盲签名是由David Chaum于1983年提出的，他曾经给出了一个非常直观的说明：所谓盲签名，就是将要隐蔽的文件放进信封里，而除去盲因子的过程就是打开这个信封。当文件在一个信封中时，任何人都不能读它。对文件签名就是通过在信封里放一张复写纸，当签名者在信封上签名时，签名便透过复写纸签到文件上。强盲签名是一类要求更强的盲签名，又称为完全盲签名，无论签名者存储多少中间信息，待求签名者公开消息和消息的签名，都无法将盲化后消息的签名和脱盲后原消息的签名进行联系，不可能对消息拥有者进行跟踪，强盲签名实现了无条件的不可追踪性和匿名性。

2强盲签名

强盲签名是一类要求更强的盲签名，它不仅满足盲签名的要求，还要满足下面的两个条件（1）消息的内容对签名者来说是不可知的；（2）求签名者把已签名的消息和签名公布后，即使签名者保留了对盲化后消息的签名Sig（m′）及其他有关数据，也无法追踪所签的消息，即签名者无法将Sig（m）与Sig（m′）进行联系。

3强盲签名方案

3.1方案描述如下

3.1.1参数选取

（1）签名者随机选择：大素数p并满足在Zp中求解离散对数为困难问题；

g是Zp中乘群Z*p的一个生成元或本原元；

（2）签名者选择私钥x，x∈Z*p，并计算公钥y=gxmodp；

签名者公开p，g，y，x保密。

3.1.2签名过程

（1）签名者生成随机数k∈Zp-1，计算r=gkmodp，然后把r发送给求签名者；

（2）求签名者收到r后，随机生成α，β∈Zp-1，对待签名的消息m进行盲化，计算：

m′=r1-α-βmmod（p-1），

并把m′发送给签名者进行签名。

（3）签名者收到m′后，从m′=sk+rxmod（p-1）计算得到s，把（r，s）作为对m′的签名，并把（m′，（r，s））发给求签名者。

3.1.3除盲过程

求签名者收到（m′，（r，s））后，计算：

则求签名者得到消息m的签名为（r′，s′）。

3.1.4验证过程

求签名者得到消息m的签名（r′，s′）后，进行验证，验证如下等式：

令v1=yr′r′s′modp，v2=gmmodp，如果v1=v2，表示签名有效，否则签名无效拒绝接受。

3.2方案正确性，强盲性及安全性分析

3.2.1.方案正确性分析

签名验证算法证明：

m′=sk+rxmod（p-1）

r1-α-βm=sk+rxmod（p-1）

m=skrα+β-1+rxrα+β-1mod（p-1）

m=skrα+β-1+xrα+βmod（p-1）

m=k（α+β）（α+β）-1srα+β-1+r′xmod（p-1）

m=k（α+β）s′+r′xmod（p-1）

又因为r′=gk（α+β）mod（p-1），所以签名（m，（r′，s′））满足签名方程m=k（α+β）s′+xr′mod（p-1）；

下面考察签名验证中的等式：

v2=gmmodp=gk（α+β）s′+xr′modp

=gk（α+β）s′gxr′modp

=r′s′yr′modp

=v1modp

所以有v1=v2，该方案是正确的。

3.2.2方案的强盲性分析

（1）求签名者选择随机数α，β∈Zp-1，对待签名的消息m进行盲化后得到

m′=r1-α-βmmod（p-1），由于α，β是随机的，且对签名者是保密的，所以签名者得不到消息m，即消息的内容对签名者来说是不可知的，因而满足强盲签名的条件（1）。

（2）求签名者公布签名的消息和签名后，签名者利用（m，（r′，s′））和他所保留的对盲消息的签名（m′，（r，s））及相关数据k，x，来求解α，β。由方程组r′=rα+βmod（p-1）和s′=（α+β）-1rα+β-1smod（p-1）及m′=r1-α-βmmod（p-1）求解α，β属于有限域上离散对数难解问题。即签名者利用（m，（r′，s′））和（m′，（r，s））得不到他们之间的联系，即不能对消息拥有者（求签名者）进行追踪，所以满足强盲签名的条件（2）。

综上这个盲签名是一个强盲签名方案。

3.2.3方案的安全性分析

（1）体制安全性分析

这个强盲签名方案的设计是基于ElGamal盲签名体制而设计的，安全性是基于求解离散对数的困难性。只要参数的选择在ElGamal签名体制的安全范围内，本方案就是体制上安全的，在此我们不再阐述。

（2）不可为造性

如果一个敌手要伪造签名者的合法签名，那么他必须要知道签名者的私钥x，而通过公开的p，g，y，求x属于离散对数困难问题。即敌手无法伪造签名。

（3）不可追踪性

由于方案满足强盲性，所以能够保证方案的不可追踪性。

结语：作者基于ElGamal签名体制中签名方程的变形方程构造了一个强盲签名方案并做了详细的论证，关于正确性、安全性以及强盲性，当然也可以根据其他变形方程构造出强盲签名方案，形式可以多样。强盲性签名方案是目前性能最好的方案，在电子商务中使用的许多电子货币系统和电子投票系统都采用了这种技术。

参考文献：

[1]蔡勉，卫宏儒.信息系统安全与理论技术[M].北京工业大学出版社：2006.

[2]Chaum D. Blind signature for untraceable payments[A].Proc，Crypto'82[C].New York：Plenum press，1983：199-203.

[3]ElGamal T.A public-key cryptosystem and a signatures scheme based on discrete logarithms[J].IEEE Transations on Information Theory，1985，31（4）：469-472.

[4]MENEIESA，VAN OORSCHOR PC，VANSTONE S.HANDBOOK of Applied Cryptography[M].New York CRC Press 1996.

基金项目：国家自然科学基金（61672199，61100100）；浙江省自然科学基金（Y1110232）；杭州电子科技大学科研启动基金（KYS055609040）。