一个可证安全的基于证书部分盲签名的改进方案
2015-03-22刘二根周华静
刘二根,周华静,王 霞
(华东交通大学 理学院,系统工程与密码学研究所,南昌 330013)
一个可证安全的基于证书部分盲签名的改进方案
刘二根,周华静,王 霞
(华东交通大学 理学院,系统工程与密码学研究所,南昌 330013)
对一个基于证书部分盲签名方案的分析,发现其事先商量好的公共信息可以被非法篡改。给出具体的攻击模型,并在该方案的基础上提出改进方案。证明了新方案的正确性、部分盲性,且方案在随机预言机模型下对适应性选择消息和身份攻击是存在性不可伪造的。
数字签名;部分盲签名;基于证书;双线性对;随机预言机模型;可证安全
为了满足签名的匿名性,1983年,Chaum[1]第一次提出盲签名的概念。一个正确的盲签名方案必须同时满足所签名的消息对签名者不可见,及签名者在最终看到签名时无法将签名与盲消息联系(不可追踪性)。因此,盲签名在电子投票,电子现金,不可追踪的支付系统等应用中具有很大的价值。但是,正是由于盲签名的完全匿名性及不可追踪性,容易造成签名的非法使用。为了克服盲签名的这种缺点,1996年,Abe et al[2]首次提出了部分盲签名的思想,他指出,部分盲签名是在盲签名的基础上,在待签名消息中嵌入用户与签名者事先商量好的公共信息。这样既可以实现签名消息不被签名者知道的功能,又可以有效保护签名者的权益,克服了盲签名中签名被滥用的缺点。2000年,Abe和Okamoto[3]第一次比较详细地定义了部分盲签名的安全模型,并提出一个具体的基于离散对数困难问题的部分盲签名方案,在随机预言机模型下证明了方案的安全性。2001年,Chien et al给出一个基于RSA大整数分解问题的部分盲签名方案[4]。然而,2005年,Hwang et al[5]指出文献[4]的方案不满足不可追踪性。2010年,Fang et al根据文献[5]中的攻击方法,对文献[4]的方案进行改进,给出一个增强的基于RSA的部分盲签名方案[6]。
目前,根据不同密码系统,学者们纷纷已经提出了基于不同密码体系的部分盲签名方案。2005年,Sherman et al将部分盲签名与基于身份公钥密码系统结合起来,提出一个基于身份的部分盲签名方案[7],并在随机预言机模型下给出了方案的安全性证明。2008年,荣维坚将部分盲签名应用到无证书密码系统中,提出一个无证书的部分盲签名方案[8]。2009年,Zhang et al又提出一个无证书可证安全的部分盲签名方案[9]。
为了同时解决基于身份公钥密码系统中的密钥托管问题,以及无证书公钥密码系统中的公钥替换问题。2003年,Gentry[10]首次在欧密会上提出基于证书公钥密码系统的概念。随后,2004年,Kang et al[11]首先将此密码系统应用到数字签名领域,并给出基于证书数字签名的安全性定义,同时也给出两个具体的签名方案。2012年,黄茹芬等提出一类可证安全的基于证书盲签名方案[12]。同年,黄茹芬,农强又提出一个高效无双线性对的基于证书部分盲签名方案[13]。2014年,黄茹芬等提出另一个基于双线性对的可证安全的基于证书部分盲签名方案[14]。
通过对文献[14]的研究发现,方案中存在公共信息被用户非法篡改而签名者完全不知情的危险。针对这一缺陷,给出了对文献[14]的攻击方法,并提出一个改进的可证安全基于证书的部分盲签名方案。
1 预备知识
1.1 双线性对映射
定义1 设加法循环群G1,乘法循环群G2,其阶均为素数q.一个映射e:G1×G1→G2,满足下面三条性质则称该映射为双线性对映射:
2) 非退化性:存在P,Q∈G1,使得e(P,Q)≠1;
3) 可计算性:对于任意的P,Q∈G1,存在有效的多项式时间算法能计算出e(P,Q).
1.2 困难问题及假设
定义2 计算Diffie-Hellman问题(CDHP):设一个加法循环群G,生成元为P,已知aP,bP,计算abP.
假设1 计算Diffie-Hellman困难性假设:如果不存在一个概率多项式时间(PPT)算法,使得在时间t内,该算法以至少ε的概率解群G上的CDH问题,则称(t,ε)-CDHP困难假设在该群上成立。
2 原方案分析
2.1 方案回顾
文献[14]中给出了一个基于证书的部分盲签名方案,该方案由系统初始化(Setup)、用户密钥生成(UserKeyGen)、证书生成(CertGen)、签名(Sign)及验证(Verify)这5个算法构成,具体描述如下:
PKC=sP.
式中:s为系统主密钥;PKC为系统主公钥。
3) CertGen:输入系统公开参数p,系统主密钥s,签名者A的身份IA∈{0,1}*,公钥PKA,CA计算QA=H1(IA||PKA||PKC),则对应的用户公钥证书为CeA=sQA;
4) Sign:输入系统公开参数p,签名者A的身份IA,私钥sA,公钥PKA及证书CeA,计算g1=e(CeA,XA),g2=e(QA,YA),并将其作为公钥参数公开,待签名消息为m∈{0,1}*,假设c为签名者A和用户B事先商量好的公共信息,运行如下交互过程:
a.计算临时签名密钥:签名者计算其临时签名密钥SA=sACeA;
d.签名:签名者A对盲化过的消息进行签名,计算V′=(rH3(c)+h′)SA,并发送给用户B;
e.解盲:用户B对上面的签名进行解盲,计算V=αV′ .
最后输出关于消息m的部分盲签名σ=(m,c,U,V);
5) Verify:给定系统公开参数p,签名者A的身份IA,公钥PKA,公钥参数g1,g2及消息m的部分盲签名σ=(m,c,U,V),运行如下算法:
a.验证者首先验证等式e(XA,PKC)=e(YA,P)是否成立,如果不成立,则输出False,并终止算法;否则,继续算法,计算h=H2(m‖c‖U‖YA),QA=H1(IA‖PKA‖PKC);
2.2 方案中的缺陷
在上述部分盲签名方案中,用户与签名者事先商量好的公共信息可被非法篡改。
即签名通过验证等式。也就是说,验证者可以使用中间过程中的公开参数来验证签名的有效性,因此S在不被签名者和验证者察觉的情况下利用篡改的公共信息执行部分盲签名协议。
事实上,在上述方案中,签名的验证等式里并不包含用户与签名者事先商量好的公共信息c,因此验证者无法区分h中的c是否是事先商量好的公共信息。
3 改进的基于证书部分盲签名方案
为了解决上述方案中不诚实的用户对公共信息进行篡改的漏洞,在原方案的基础上给出一个改进方案。在改进方案中,系统初始化、用户密钥生成、以及证书生成阶段与原方案中的相同(见2.1方案回顾)。只将签名和验证阶段进行修改:
1) 签名:输入系统公开参数p,签名者A的身份IA,私钥sA,公钥PKA及证书CeA,计算公钥参数g1=e(CeA,XA),g2=(XA,P),消息m∈{0,1}*,设签名者与用户事先商量好的公共信息为c,运行如下协议:
a.临时签名密钥生成:签名者计算其临时签名密钥SA=sACeA;
d.签名:签名者对盲化后的消息进行签名,计算V′=(rH3(c)+h′)SA+XA,并发送给用户;
e.解盲:用户对V′进行解盲,计算V=αV′。
最后输出关于消息m对应的部分盲签名σ=(m,c,U1,U2,V);
2) 验证:输入系统公开参数p,签名者A的身份IA,公钥PKA,公钥参数g1,g2及消息m的部分盲签名σ=(m,c,h,U1,U2,V),运行如下算法:
a.验证者首先验证等式e(XA,PKC)=e(YA,P)是否成立,如果不成立,则输出False,并终止算法;否则,继续计算h=H2(m‖c‖U1‖U2‖YA),QA=H1(IA‖PKA‖PKC);
4 改进方案的分析及相关证明
4.1 方案的正确性
定理1 改进后的方案是正确的。
证明:只需证明改进后方案的签名的验证满足验证等式即可。
e(V,P)=e(αV′,P)=
e(α((rH3(c)+h′)SA+XA),P)=
e((αrH3(c)+β+h)SA+αXA,P)=
e(SA,P)αrH3(c)+β+he(XA,P)α=
e(CeA,XA)αrH3(c)+β+he(XA,P)α=
即签名可以通过验证等式,满足正确性。
4.2 安全性分析
4.2.1 部分盲性
定理2 改进后的基于证书部分盲签名方案满足部分盲性。
V=αV′ ,
(1)
h′=α-1(β+h) .
(2)
4.2.2 公共信息不可篡改
定理3 在改进后的方案中不存在原方案中公共信息被篡改的可能。
4.2.3 不可伪造性
定义3(攻击模型假设)[15]假设在基于证书部分盲签名方案中有下面两种类型的攻击者:
类型1(AⅠ):攻击者AⅠ知道用户的个人私钥(相当于不诚实的用户),但是不知道对应的证书,以及系统主密钥;
类型2(AⅡ):攻击者AⅡ可以获得系统主密钥(相当于恶意的KGC),但是不知道用户私钥。
定理4(类型Ⅰ攻击下的不可伪造性) 在随机预言机模型中,设AⅠ为类型Ⅰ攻击者,改进后的基于证书部分盲签名方案具有抵抗AⅠ的存在不可伪造性。
1) 系统参数设置:C设置系统公开参数p={k,q,G1,G2,e,P,PKC,H1,H2,H3}并发送给AⅠ,AⅠ可以向C进行一些询问,C通过维护相应的列表来模拟对AⅠ的回答。其中,列表L1(Ii,PKi,PKC,h1i),L2(m,c,U,Yi,h2i),LK(Ii,PKi,SKi),LC(Ii,Cei),分别对应H1询问,H2询问,用户密钥询问,证书询问。开始时置所有列表都为空。
5) 证书询问:AⅠ向C进行身份为Ii的证书询问,C首先检查列表LC,如果列表中存在相应的值,直接返回Cei给AⅠ;否则,如果Ii≠I*,C检查列表L1,得到h1i,计算Cei=h1iP2,返回给AⅠ,并保存到列表中;如果Ii=I*,C拒绝回答,并终止;
6) 私钥询问:AⅠ向C询问身份为Ii的用户私钥,C查询列表LK,并返回SKi给AⅠ;
由于伪造的两个签名都是有效的,因此都满足验证等式:
(3)
(4)
e(Vi,P)e(CeA,XA)-h=
因此,挑战者C可以计算:
也就是说,如果攻击者AⅠ可以经过询问训练,成功伪造出签名,那么挑战者C就可以成功解决CDH困难问题,出现矛盾。因此,方案在随机预言机模型下具有抗类型Ⅰ攻击的存在不可伪造性。
定理5(类型Ⅱ攻击下的不可伪造性) 在随机预言机模型中,设AⅡ为类型Ⅱ攻击者,本文改进后的基于证书部分盲签名方案具有抵抗攻击者AⅡ的存在不可伪造性。
1) 系统参数设置:C设置系统公开参数p={k,q,G1,G2,e,P,PKC,H1,H2,H3}并发送给AⅡ,AⅡ可以向C进行一些询问,C通过维护相应的列表来模拟对AⅡ的回答。其中,列表L1(Ii,PKi,PKC,h1i),L2(m,c,U,Yi,h2i),LK(Ii,PKi,SKi),分别对应H1询问,H2询问,用户密钥询问。开始时置所有列表都为空。
2)H2询问与定理3中的相同。
由于伪造的两个签名都是有效的,因此都满足验证等式:
(5)
(6)
因此,挑战者C可以计算:
也就是说,如果攻击者AⅡ可以经过询问训练,成功伪造出签名,那么挑战者C就可以成功解决CDH困难问题,出现矛盾。因此,方案在随机预言机模型下具有抗类型Ⅱ攻击的存在不可伪造性。
5 结束语
本文通过对黄茹芬等提出的基于证书部分盲签名方案[14]的研究和分析,发现其存在公共信息被篡改的危险。并分析方案存在漏洞的原因,针对这一漏洞,在原方案的基础上提出改进方案。并对改进后的方案进行安全性分析,发现不仅可以抵抗公共信息被篡改的危险,同时也满足部分盲性及对适应性选择消息和身份下的不可伪造性。方案通过对公钥参数的预计算,提高了签名过程的效率。改进后的方案也是基于证书的,简化了传统公钥证书的颁发及管理过程,同时解决了基于身份密码体制下固有的密钥托管问题。
[1] Chaum D.Blind Signature for Untraceable Payments[C]∥Proc of Cryptology-Crypto’83.New York,USA:Plenum Press,1983,:145-152.
[2] Abe M,Fujisaki E.How to Date Blind Signatures[C]∥Proc of Cryptology-Asiacrypt’96.Kyongju,Korea:Springer-Verlag,1996:352-361.
[3] Abe M,Okamoto T.Provably Secure Partially Blind Signatures[C]∥Proc of Cryptology-Crypto’00.Santa Barbara,USA:Springer-Verlag,2000:222-231.
[4] Chien H Y,Jan J K,Tseng Y M.RSA-Based Partially Blind Signature with Low Computation[C]∥IEEE 8thInternational Conference on Parallel and Distributed Systems,2001:385-389.
[5] Wen H A,Lee K C,Hwang S Y,et al.On the traceability on RSA-based partially signature with low computation[J].Applied Mathematics and Computation,2005,162:421-425.
[6] Fang Dejian,Wang Na,Liu Chenglian.An enhanced RSA-based partially blind signature[C]∥2010 International Conference on Computer and Communication Technologies in Agriculture Engineering,2010:565-567.
[7] Sherman S,Chow M,Lucas C,et al.Two improved partially blind signature schemes from bilinear pairings[C]∥Proc of ACISP’05.Brisbane,Australia:Springer-Verlng,2005:211-219.
[8] 荣维坚.无证书部分盲签名方案[J].漳州师范学院学报:自然科学版,2008,21(4):44-47.
[9] Zhang Lei,Zhang Futai.Certificateless partially blind signatures[C]∥Proc. of ICISE’09.Nanjing, China:[s.n.],2009:265-271.
[10] Gentry C.Certificate-based encryption and the certificate revocation problem[C]∥Proc.of EuroCrpty’03.Warsaw,Poland:Springer-Verlag,2003:555-567.
[11] Kang B G,Park J H,Hahn S G.A certificate-based signature scheme[C]∥Proc.of CT-RSA’04.San Francisco,USA:Springer-Verlag,2004:354-363.
[12] 黄如芬,农强,黄振杰.一类可证安全的基于证书盲签名[J].计算机应用研究,2012,29(12):4622-4630.
[13] Huang Rufen,Nong Qiang.Efficient certificate-based blind signature scheme without blilnear pairings[C]∥Proc.of ADME’12.Taiyuan,China:[s. n.],2012:128-134.
[14] 黄如芬,农强,黄振杰.可证安全的基于证书部分盲签名方案[J].计算机工程,2014,40(6):109-114.
[15] Li Jiguo,Huang Xinyi,Mu Yi,et al.Certificate-based signature:security model and efficient construction[C]∥Proc.of EuroPKI’07.Palma de Mallorca,Spain:Springer-Verlag,2007:444-453.
[16] Pointcheval D,Stern J.Security arguments for digital signatures and blind signatures[J].Journal of Cryptology,2000,13(3):361-396.
(编辑:刘笑达)
One Provably Secure modified Certificate-based Partially Blind Signature Scheme
LIU Ergen,ZHOU Huajing,WANG Xia
(CollegeofScienceofEastChinaJiaotongUniversity,NanchangInstituteofEngineeringandCryptographyofEastChinaJiaotongUniversity,Nanchang330013,China)
Analysis of a certificate-based partially blind signature scheme showed that the negotiated public information could be tamped illegally. Given a concrete attack model,this papet proposed an improved scheme.The correctness and partial blindness of the new scheme were proved.The scheme was proved to be existentially unforgeable against adaptivly chosen message and identity attacks under random oracle model.
digital signature;partially blind signature;certificate-based;bilinear pairings;random oracle model;provably secure
1007-9432(2015)05-0571-06
2015-01-12
国家自然科学基金资助项目:关于图的控制集划分问题研究(11361024);江西省高校科技落地计划项目(KJLD12067);江西省教育厅科研项目(GJJ13339);华东交通大学校立科研基金项目(11JC04)
刘二根(1964-),男,江西吉安人,教授,硕士,主要从事信息安全,图论及其应用研究,(Tel)13677098125
TP309
A
10.16355/j.cnki.issn1007-9432tyut.2015.05.018
