周雁舟,张焕国,李立新,宋 扬

(1.武汉大学计算机学院,武汉 430072;2.信息工程大学电子技术学院,郑州 450004;3.解放军 65711部队,大连 116500)

基于l-MOMSDH假设的短群签名DAA方案

周雁舟1,2,张焕国1,李立新2,宋 扬3

(1.武汉大学计算机学院,武汉 430072;2.信息工程大学电子技术学院,郑州 450004;3.解放军 65711部队,大连 116500)

提出将标准模型下基于l-MOMSDH假设的短群签名方案作用于DAA协议,该协议基于Fiat-Shamir启发式设计思想,完成了协议知识签名的数学构造,实现了非交互式零知识证明到知识签名的转化.具有签名长度短、运行效率高及标准模型下可证安全等特性,提高了现有协议的安全性,同时兼顾协议执行效率.

可信计算平台;远程证明;直接匿名证明;标准模型;短群签名

2004年,IBM瑞士苏黎士研究部门卡梅尼希、惠普陈立群及英特尔布里克尔等人借鉴了群签名、零知识证明和知识名等技术,提出了最初的直接匿名认证(direct anonymous attestation,DAA)协议,简称BCC协议[1-2],2008年,DAA协议的创建者又提出一种更为高效的DAA协议,称之为BCL协议[3],随后,惠普的陈立群等人对BCL协议做了更进一步的改进,降低了TPM的运算量,称之为CMP协议[4-5].

本文提出将梁晓辉等人设计的标准模型下的可证安全短群签名协议[6](shortgroup signature,SGS)作用于DAA协议的方案.分析证明该方案具有签名长度短、运行效率高及标准模型下可证安全等特性,在提高现有协议的安全性的同时兼顾协议的执行效率.

1 基于l-MOMSDH假设的短群签名DAA方案

本节提出一种新的DAA协议:基于l-MOMSDH假设[6]的短群签名DAA方案(based on short group signature DAA,BSD),并给出协议各组成部分的详细描述.

安全参数见表1.

表1 协议中的安全参数Table 1 Security param eters in the p rotoco l

1.1 Setup算法

Issuer选取整数x,y∈RZn,分别计算.Issuer公布公钥kp=(g,X,Y,h,u),保存私钥ks=(x,z).

在协议初始化阶段,假定每个u的{ccomm}及{ccre}均为空;每个Issuer的RougeList(I)空;每个Verifier的RougeList(V)及{bbsn}均为空.

1.2 Join协议

1)Issuer首先计算sstr←g‖X‖Y‖u‖h‖nI,选取随机数nI={0,1}lH,并将(sstr,nI)发送给 Host/TPM.

2)随后TPM计算f:=H1(DAASeed‖KI),F:=gf,随选整数r0∈Zn及随机数nT←{0,1}lΦ,分别计算R0:=gr0mod n,C:=H1(sstr‖F‖R0‖nT)和Rf:=r0+C·f mod n,组建ccomm←(F,C,Rf,nT),并经 Host发送给Issuer.

3)Issuer接收到ccomm后,依据保存的记录及自身策略判断是否接受该ccomm.如果F是由一个恶意TPM计算得来或没有经过Issuer策略检测,Issuer将中止协议,如果验证通过,Issuer执行以下操作:

②其次,Issuer依据RogueList(I)上所有的fi值重新计算F,如果重新计算的F值与ccomm中的F值不同,Issuer将中止协议;

4)Host将证书转发给TPM,TPM经EK私钥解密后,计算d:=af,一并发送给Host.

5)Host通过验证以下2个等式是否成立判定证书在计算上的正确性:

e(a,F)=e(g,d),e(XY,b)·e(g,g)-1=e(gFX,c)·e(g,u)-1.

6)如果验证通过,TPM将调用其ks密钥,加密存储证书.否则,Host/TPM将中止协议.

1.3 Sign协议

1)Verifier选取本次签名所需的基名bbsn及用于抵御重放攻击的随机数nV,一并发送给Host/TPM.

2)TPM将依据bbsn的不同选取不同的D值:如果;如果,计算D:=HGT(1‖bbsn),同时计算 K:=Df,E:=gF,并将(D,K,E)值发送给Host.

4)Host生成知识签名所需的参数I1:=e(a,b),I2:=e(a,c),I3:=e(F,bc).

5)Host/TPM联合为消息m计算知识签名,表述如下:

①Host随机选取整数r4∈Zn,计算并发送给TPM;

③Host随后计算s1:=r4+c·r mod n,并构造最后的签名 σ=(D,E,K,A,B,C,I1,I2,I3,c,s1,s2).

1.4 Verify算法

Verify算法验证了由证明方依据验证方Verifier选取的基名bbsn及证明方DAA证书生成的知识签名σ,包括DAA证书的有效性验证、验证证书与平台的对应关系验证、恶意TPM的检测等.验证过程与BCLDAA类似.

1.5 RogueTagging算法

证明过程与BCL-DAA协议类似.

1.6 Linking算法

证明过程与BCL-DAA协议类似.

2 协议证明

2.1 正确性

如果签名方与验证方都是诚实的,或者说f∉RogueList(V),签名者产生的签名及签名间的关联性是可以被验证方的Verify算法及Linking算法验证通过的.也就是说,BSD协议满足以下一致性要求.即:

2.2 完备性

如果证明方和验证方都是诚实的可信平台,那么BSD协议的签名算法与验证算法应该满足协议完备性.验证方对签名的验证主要体现在下列等式的验证:

1)验证以下等式,判定证书合法性.

易于证明等式(1)、(2)成立.

2)验证签名中的c值与验证方重新计算的c值是否相等,验证证书与平台的对应关系.具体验证包括验证等式是否成立.证明如下

同理可证 T3=T′3.

2.3 用户可控匿名性

BSD协议中的用户可控匿名性满足以下2个安全属性:

1)匿名性.1个不具有签名方私钥的攻击者A无法从签名本身推断出签名方身份.

2)用户可控不可关联性.给出基于sbsn0和bbsn1的2个签名 σ0和 σ1,其中个不具有签名者私钥的攻击者A很难分辨出(σ0,σ1)是否出自于同一个签名方.

2.4 用户可控追踪性

BSD协议中的用户可控追踪性要满足以下2个安全属性:

1)不可伪造性:攻击者A已经攻破了1组签名者,获取了它们的私钥及证书.但A很难依据不属于该组的私钥及证书伪造1个有效签名.

2.5 标准模型下可证安全性

定理1:如果l-MOMSDH假设在群G1中成立,离散对数问题在G1中是难以解决的,哈希函数H2和H3具有抗碰撞性,那么BSD协议在标准模型下是可证安全的.

BSD协议的安全证明采用与BCC方案相同的安全证明模型:“理想系统/真实系统(Ideal System/Real System)”(简称为IS/RS)[7-8].

3 结束语

本文提出了一种新的直接匿名证明协议,采用标准模型下的基于l-MOMSDH假设的短群签名方案作为协议的理论支撑,并基于Fiat-Shamir启发式设计思想,完成了协议知识签名的数学构造,实现了非交互式零知识证明到知识签名的转化.通过分析和证明,该方案具有的签名长度短、运行效率高及标准模型下可证安全等特性,提高了现有协议的安全性和效率.

[1]KILIAN J,PETRANK E.Identity escrow[C]∥Crytology-CRYPTO'98.California,USA:Springer,1998:169-185.

[2]BRICKELL E,CAMENISCH J,CHEN Li-qun.Direct anonymous attestation[C]∥CCS'04.Washington,DC,USA:ACM,2004:132-145.

[3]BRICKELL E,CHEN Li-qun,LI Jiang-tao.Simplified security notions of directanonymous attestation and a concrets scheme from parings[C]∥TRUST2008.Villach,Austria:Springer,2008:25-45.

[4]CHEN Li-qun,MORRISSEY P,SMART N P.Pairing in trusted computing[C]∥Pairing in Cryptography-Pairing 2008.London:Springer,2008:1-17.

[5]CHEN Li-qun,MORRISSEY P,SMART N P.On proof of security for DAA schemes[C]∥ProvSec 2008.Shanghai:Springer,2008:156-175.

[6]LIANG Xiao-hui,CAOZhen-fu,SHAO Jun,et al.Shortgroup signature without random oracles[C]∥ICICS 2007.Beijing:Springer,2007:69-82.

[7]CANETTIR.Studies in securemultiparty computation and app lications[D].Israel:Weizmann Institute,1995.

[8]PFOTZMANN B,WAIDNER M.Composition and integrity preservation of secure reactive systems[C]∥The 7th ACM Comference on Computer and Communication Security.Athens,Greece:ACM,2004:245-254.

(责任编辑 苗艳玲)

A Short Group Signature DAA Scheme Based on l-Modified One More Strong Diffie-Hellman Problem Assumption

ZHOU Yan-zhou1,2,ZHANG Huan-guo1,LILi-xin2,SONG Yang3
(1.College of Computer,Wuhan University,Whhan 430072,China;2.Institute of Electronic Technology,Information Engineering University,Zhengzhou 450004,China;3.PLA 65711 troop,Dalian 116500,China)

We deisgna DAA scheme based on Short Group Signature on l-MOMSDH assumption.On the basis of Fiat-Shamir heuristic theory,the signature of knowledge and realization of the transformation from non-interactive zero knowledge proof to signature of knowledge are introduced.Because of its short signature,high efficiency and provable security in Standard Model,the security of DAA is increased while its efficiency is also guaranteed.

trusted computing platform;remote attestation;direct anonymous attestation;standard model;short group signature

TP393

A

0254-0037(2010)05-0601-04

2009-12-10.

国家“八六三”计划资助项目(2008AA01Z404,2006AA01Z442,2007AA01Z411);国家自然科学基金资助项目(60673071,60970115).

周雁舟(1971—),男,河南安阳人,副研究员.