褚晶晶,何琪芬，张 慧

(杭州师范大学 理学院，浙江 杭州 310036)

0 引 言

数字签名技术是用来保证传输信息的真实性、解决通信双方争端的信息安全技术，最早应用于用户登录过程，现已广泛应用于电子邮件、数据交换、电子交易和电子货币等领域.在现今流行的电子商务活动中，是通过数字签名来证明传送文件当事人身份与数据真实性的.

第一个数字签名方案由Rivest,Shamir和Adleman提出，称为RSA方案[1].这一方案是建立在他们提出的一个假设，即RSA假设之上的.早期的数字签名方案主要由Lamport和Rabin等人提出.经过20多年的发展，已经提出许多高效、安全的数字签名方案.比较著名的有ElGamal、Schnorr、DSA、Rabin和Okamoto等.

在现实生活中，数字签名的应用领域已愈来愈广泛且多样，因此能适应某些特殊要求的数字签名技术也应运而生.如签名人委托另一个人代表他签名，于是就有了代理签名[2]的概念；为了保护信息拥有者的隐私，要求签名人不能看见所签信息，于是就有了盲签名[3]的产生；为了只允许被看得到真实消息的接收者看到消息，又有了指定的接收者恢复消息的盲签名[4]；为了在签名密钥被泄露的情况下，仍能保护以前签名的安全，于是又有了前向安全的数字签名[5-7].

在此提出了一种新的基于ElGamal体制的前向安全的具有指定接收者恢复消息的合作盲签名方案.方案中签名发起者为原始消息的掌握者A，签名合作者为B，指定接收者为C，A的目的是把原始消息告诉C，但由于某种原因(例如，需要委托专门的“运送公司”B来帮忙传递，或者，需要得到B的某种方式的认可，这种认可是以由B转交来实现的).在现实中，A要把某物件给某人C，为方便起见，A一般会选择快递、空运等方式转接，而不是亲自出马，以便节省人力物力.但这个物件或是信息的具体内容，A又是不想让运送者B知道，只是让B负责物品转接，因此A将要传送的物件进行“包装”，应用到数字签名里就是信息盲化，等到指定的接收者C凭有效证件拿到“包裹”后，接收者才能“拆分包裹”，验收里面的货品.经验证，该方案满足前向安全性、不可伪造性、不可否认性、盲性等要求.

1 方案描述

方案包括5个过程：系统初始化过程，签署合作过程，密钥更新过程，合作签名过程，签名的验证接收过程.

1.1 系统初始化

1.2 签署合作过程

RA=grA(modp)，θ=rA+ZBxA(modq)，

为签名发起者A将部分签名权委托给签名合作者B签名的验证公钥，在系统内公开.然后签名发起者A将(θ,RA)通过安全渠道发送给签名合作者B.

4)B收到(θ,RA)后，检测gθ=RA·yAZB(modp)是否成立？如果成立，则说明(θ,RA)是A发送过来的，B接受A的委托，同意协助A共同行使签名的权力，否则拒绝接受A的委托.若成立，则继续计算

θp=θ+wB+xB(modq)

为B参与合作签名的私钥，将其秘密地保存，此方程满足关系式yp=(gθp)2T(modp)，记σ0=gθp(modp)，则yp=σ02T(modp)，yp为签名发起者A将部分签名权委托给签名合作者B签名的验证公钥.A只要计算

是否成立，即可确认他要合作的人是不是就是B.

1.3 密钥更新过程

1.4 合作签名过程

1) 在第j个周期，A于tAj时刻从CA处获取信息mj和消息有效截止时刻tj后，首先验证tj-tAj>0是否成立，接下来的每一步操作都是先验证是否超时，超时则向CA中心发送一个超时信息，表示对mj的签名失败；若没有超时，则签名继续进行，下文不再赘述这一超时验证操作.

1.5 签名的验证接收过程

gαjrBj(gyp2-T+j)βjgγjyA=RBjαj(gyp2-T+j)βjgγjyA(modp)=RCj

RjgxCrBj=RjyCrBj=RjR1j(modp)=mj′

2 安全性分析

2) 该方案能抵抗伪造攻击.只有签名发起人和签名合作人合作才能够生成有效的签名，其他任何人包括签名发起人A亦或是签名合作人B都不能单独伪造生成签名.因为合作签名的私钥θp=θ+wB+xB(modq)中包含有签名合作人B的私钥xB和随机数wB，只有B才能生成θp；而从yp中获得私钥θp将同时面临二次剩余难题[9]及离散对数难题；若A要单独伪造签名，还必须知道随机数rBj，而该随机数在不同的周期要发生变化的，因此基于上述难题就有效地保护了签名合作人B的利益.而合作签名人B也是不能单独伪造生成签名的，安全性分析见以下4)所述.

中求得αj,βj,γj.因此，B不能把签名文件的行为与签了名的文件联系起来，达到对消息拥有者追踪的目的，故这个签名方案是一个强盲签名方案.

5) 该方案具有保密性.只有指定的接收者C才能恢复出消息，其他任何人都不能从签名中恢复出消息.

6) 方案还能抵抗重播攻击.在方案中引入了时间标志，每次都要对时间进行验证，可以防止签名重播.

3 结束语

文章基于ElGamal数字签名体制构造了一种新的前向安全的具有指定接收者恢复消息的合作盲签名方案.与以往的具有指定接收者恢复消息的代理盲签名方案相比，该方案增加了前向安全特性，并且将原始消息拥有权和原始签名权都交给了同一个人——签名发起人.在合作签名阶段发起人参与到签名过程，这样也就制约了以往的代理人单独完成后续签名过程而易造成内部伪造攻击的危机.在签名的验证阶段，只有指定的接收者才能利用自身的私钥恢复出原始消息，接收者不仅能确认是B传递的消息，还能确认是否有A的参与.该方案是一个安全、实用的盲签名方案.

[1] Rivest R L, Shamir A, Adleman L M. A method for obtaining digital signatures and public-key cryptosystems[J]. Communications of the ACM,1978,21(2)：120-126.

[2] Mambo M, Usuda K, Okamoto E. Proxy signatures: Delegation of the power to sign message[J]. IEICE Trans Fundamentals,1996,E79-A(9):1338-1354.

[3] Chaum D. Blind signature systems[C]//Chaum D. Proceedings of the Crypo’83. New York: Springer-Verlag，1998：153-156.

[4] Nyberg K, Rueppel R A. Message recovery for signature schemes based on the discrete logarithm[J]. Designs, Codes and Cryptography,1996,7(1-2):61-81.

[5] Anderson R. Two remarks on public-key cryptology[C]//Tsutomu M. Proceedings of the 4th ACM Conference on Computer and Communications Security. Zurich: ACM Press,1997:1-7.

[6] 王晓明,符方伟,张震.前向安全的多重数字签名方案[J].计算机学报,2004,27(9):1177-1181.

[7] 黄岩渠,谢冬青.一种新的前向安全数字签名方案[J].计算机应用研究，2004:133-134.

[8]Bruce Schneier.应用密码学：协议、算法与C源程序[M].吴世忠,祝世雄,张文政,等,译.北京:机械工业出版社,2000:49-131.

[9] Kozlov A, Reyzin L. Forward-secure signatures with fast key update[C]//Proceedings of Security in Communication Networks, LNCS2576. Berlin: Springer-Verlag,2002:247-262.

[10] 屈娟,张建中.具有消息恢复的指定接收者的代理盲签名方案[J].计算机工程与应用,2008,44(33):110-111.