一个新的多重代理盲签名方案
2010-01-19覃海艳蔡光兴
覃海艳,蔡光兴
(湖北工业大学 理学院,湖北 武汉 430068)
盲签名的概念由D.Chaum 最先提出[1,2],它要求签字者对其所签消息是盲的.代理签名由Mambo、Usuda和Okamoto最先提出[3],它指当某个签名人因某种原因不能签名时,将签名权委托给他人(代理人)替自己行使签名权.在2000年,LIN和JAN结合代理签名和盲签名各自的特点最先提出了代理盲签名.多重代理盲签名是代理盲签名的延伸,被授权的代理签名者代替多个签名者进行签名,它应该满足不可链接性,盲性以及不可伪造性等安全性要求,不可伪造性指只有被授权的代理签名者才能产生有效的代理签名,其他任何人不能伪造签名.不可链接性指签名结果产生以后,代理签名者不能将签名结果和签名信息联系起来.盲性是盲签名一个重要特性.文献[4]指出文献[5]中方案不具有不可伪造性和不可链接性,但没有给出一个改进的方案.本文受文献[6]的启发,提出一个新的多重代理盲签名方案,该方案能够满足不可伪造性和不可链接性.
1 方案的分析[5]
1.1 原始签名人的伪造攻击
1.2 链接性攻击
文献[5]方案中,签名(e*,y*)产生后,代理签名者B根据自己保留的信息(w1i,xi,ei,yi)计算出w2′=y*-yi(modp),w3′=ei-e*(modq),并检验e'*=e*是否成立.对所有的i,若成立,则具有不可链接性,但是文献[5]方案该等式并不是对所有的i成立.
2 对方案的改进
2.1 系统初始化
2.2 代理子密钥的产生与验证阶段
B检验gsi=yiH(mw,ri)riyB(modp),若成立,B接受(ri,si,mw).
2.3 代理密钥的产生阶段
2.4 代理盲签名阶段
(iii)B收到e′后,计算s′=w1-e′·sk(modq),并将s′传给C;
(iv)C收到s′后验证gs′αe′(modp)=x是否成立,若成立,计算s=w4·s′+w2(modq),(e*,s)为对消息m的代理盲签名.
2.5 代理盲签名验证阶段
xw4gw2α-e*+w3w4αe*=xw4gw2αw3w4(modp)=x*.
3 安全性分析
3.1 不可伪造性
3.2 不可链接性
3.3 不可否认性
由上面的证明和条件(i)(ii)易知A不能否认对B的授权,B也不能否认对C的代理盲签名.
3.4 可区分性
由子密钥验证阶段和签名验证阶段易知均使用Ai和B的公钥yB,因此很容易区分原始签名人和代理签名人.
3.5 防滥用性
在子密钥产生阶段,原始签名人在授权书中明确了代理权限,代理期限等,因此防止了代理签名人的滥用.
3.6 可注销性
若原始签名人A想收回B的代理签名权,只需宣布α不再有效,B生成的代理签名便会随之失效.
4 结论
本文针对文献[4]提出的方案[5]不具有不可伪造性和不可链接性等问题,对原方案进行了改进,克服了原有的不安全,不诚实的原始签名人不能伪造签名,代理签名人也不能追踪签名,这使得改进后的方案更加安全.
[1] Chaum D.Blind Signature for Untraceable Payments[C]//Proc. of Crypto’82.New York, USA:Plenum Press,1983:199-203.
[2] 王育民,张彤,黄继武.信息隐藏—理论与技术[M].北京:清华大学出版社,2006:139-144.
[3] Mambo M, Usuda K,Okamoto K.Proxy Signature: Delegation of the Prower to Sign Message[J]. IEICE Trans on Fundam,1996,79(9):1 338-1 353.
[4] 王国瞻,亢保元,成林.多重代理盲签名分析[J].计算机工程,2010,36(8):130-131.
[5] Lu Rongxing, Cao zhenfu, Zhou Yuan. Proxy Blind Multi-signature Scheme without a Secure Channel [J].Applied Mathematics and Cumputation,2005,164(1):179-187.
[6] 毛卫霞,李志霞,柳烨.一个新的多代理盲签名方案[J].计算机工程与应用,2010,46(12):82-84.