李　莎　李　虓　何明星　罗大文　杜亚军

(西华大学数学与计算机学院　四川 成都 610039)



无可信PKG的盲签名方案的安全性分析及改进

李莎李虓*何明星罗大文杜亚军

(西华大学数学与计算机学院四川 成都 610039)

摘要无可信PKG的密码体制克服了基于身份的密码体制的密钥托管问题。针对何俊杰等人的无可信PKG的盲签名方案，详细分析其安全性，发现其方案不能抵抗敌手AI伪造攻击。敌手AI在无法获取用户的部分私钥和秘密值的情况下，对用户的部分公钥进行替代，可生成对任意消息的合法的盲签名。当用追溯算法时，仲裁方将断定该签名是PKG伪造的，诚实的PKG就会被敌手AI陷害。为此，提出相应的改进方案，对验证等式做了相应变化，有效地防止了敌手AI的公钥替代攻击。

关键词基于身份盲签名私钥生产中心伪造攻击替代公钥

SECURITY ANALYSIS AND IMPROVEMENT FOR BLIND SIGNATURE SCHEME WITHOUT TRUSTED PKG

Li ShaLi Xiao*He MingxingLuo DawenDu Yajun

(School of Mathematics and Computer Engineering,Xihua University,Chengdu 610039,Sichuan,China)

AbstractThe cryptosystem without trusted PKG gets over the problem of key escrow of the identity-based cryptosystem. In this paper we analyse in detail the security of blind signature schemes without trusted PKG presented by He Jun-jie et al., and find out that this scheme cannot resist the forgery attack of type one adversaryAI.The adversaryAIsubstitutes user’s partial public key under the condition of unable to gain the partial private key and secret value of the user, and this can forge a legitimate blind signature on arbitrary message. When the trace algorithm is executed, the arbiter will decide that this signature is forged by the PKG, and the honest PKG is to be framed by adversaryAI.Therefore, we propose an corresponding improved scheme, and make correlated change to the verification equation, thus effectively prevent the public key substitution attacks by adversaryAI.

KeywordsID-basedBlind signaturePrivate key generatorForgery attackSubstitution public key

0引言

盲签名是一种非常典型的数字签名技术，它最早于1982由Chuam[1]提出。在盲签名[1]中，签名者对所签署的消息是不可见的，当签名消息被公布后，签名者不能确认他是否签署了该消息。1984年，Shamir首次提出了基于身份的公钥密码体制[2]，其目的是为了简化PKI对密钥的管理和取消公钥证书。在基于身份的密码体制[2]中，用户的身份信息被作为用户的公钥，用户的私钥由私钥生成中心(PKG)生成。用户的公钥将不再需要公钥证书去进行认证，从而极大地降低了系统密钥管理的开销，提高了密钥管理的效率。然而，在基于身份的密码体制[2]中，由于PKG知道系统中所有用户的私钥，于是密钥托管问题就成了基于身份密码体制不可避免的缺陷[3,4]。同时，PKG拥有了所有用户的私钥，PKG就成了敌手攻击的主要目标，一旦PKG被攻破或被腐蚀，系统崩溃将再所难免。

为了解决基于身份的公钥密码体制的密钥托管问题，密码学者提出了无证书的公钥密码体制[3]和基于身份的无可信PKG的密码体制[4]。在无证书[3]及无可信PKG[4]的公钥密码体制中，用户的私钥由PKG生成的部分私钥和用户自选的一个秘密值组成，用户自己生成一个部分公钥。因为PKG无法知道用户的秘密值，从而有效地克服了基于身份的公钥密码体制的密钥托管问题。许多学者把无可信PKG的公钥密码体制和盲签名技术结合起来，于是出现了基于身份的无可信PKG的盲签名[5-12]。无可信PKG的密码体制中，用户的部分公钥是自己生成的，没有被注册认证，容易遭到部分公钥被替代攻击。

2013年，何俊杰等提出了一个新的无可信私钥生成中心的盲签名方案[12]。该方案[12]声称能抵抗敌手AI和敌手AI的自适应选择消息和身份的伪造攻击，并且可以通过追溯算法来抵抗恶意PKG(敌手AIII)的伪造攻击。本文对何俊杰[12]的方案进行了安全性分析，发现他们的方案不能抵抗敌手AI的伪造攻击，当用追溯算法时可以陷害诚实的PKG，并给出了相应的改进方案，并给出了相应的改进方案。

1预备知识

1.1双线性对

设(G1,+)是一个加法群，(G2,·)是一个乘法群，阶都为素数q，并假设离散对数问题在群G1和G2中是难解的。若一个映射e:G1×G1→G2满足：

2) 非退化性：存在P,Q∈G1，使得e(P,Q)≠1。

3) 可计算性：对∀P,Q∈G1，计算e(P,Q)的值存在一个高效的算法。

则称映射e:G1×G1→G2是一个双线性对。

1.2相关数学难题

设P是G的一个生成元。

1.3无可信PKG的盲签名的攻击模型

根据PKG的可信度，无可信PKG的盲签名方案的攻击模型可以分为以下三种类型[8,12]：

类型1PKG是可信的，安全保护用户的部分私钥SID和系统主密钥s，敌手AI不能得到用户的秘密值xID和部分私钥SID，但可以替换用户的公钥pkID。

类型2PKG是半可信的或被敌手AII攻破，用户的部分私钥SID，甚至系统主密钥s都可能被AII获取，但不能得到用户的秘密值xID，并且不能替换用户的公钥pkID。

类型3PKG是完全不可信的，能伪造身份为ID的合法用户秘密值xID和公钥pkID，甚至给敌手AIII泄露部分私钥SID。

若能满足可追溯性并且可以抵抗AI和AII的伪造攻击，则称无可信PKG的盲签名方案是安全的。当敌手AIII伪造合法签名者的签名时，仲裁方可用追溯算法来证明这是一个伪造签名。

2H-Z-Q盲签名方案及其安全性分析

2.1H-Z-Q盲签名方案回顾

2013年，何俊杰等提出了一个新的无可信私钥生成中心的盲签名方案[12]，这里简记为H-Z-Q盲签名方案。H-Z-Q盲签名方案[12]简述如下：

2) 密钥提取

b.Alice产生自己的部分公钥PID=xIDP。

c.Alice把部分公钥PID和身份ID发送给PKG，PKG计算QID=H1(ID,PID)和签名者的部分私钥SID=sQID，并将SID发送给Alice。Alice通过验证等式e(SID,P)=e(QID,Ppub)来检验SID的合法性。

d.Alice产生自己的签名私钥skID=(xID,SID)。

3) 签名发布签名者Alice被请求者Bob请求对消息m执行盲签名：

将(T,r)发送给Alice。

c.签名Alice收到(T,r)后，计算S=xIDT+krSID。将S发送给Bob。

d.脱盲Bob收到S后，计算V=β-1(S-γPID)。

则(U,V)为身份是ID的Alice对消息m的盲签名。

4) 验证验证者获取盲签名(ID,m,(U,V))后，利用Alice的公开密钥PID来计算QID=H1(ID,PID)，H=H2(ID,m,U)，验证等式：

e(V,P)=e(H,PID)e(QID,U)

是否成立。如果成立，(ID,m,(U,V))为有效的盲签名；否则签名无效。

2.2H-Z-Q盲签名方案的安全性分析

对H-Z-Q盲签名方案[12]，敌手AI虽然无法获取用户(身份为ID)的部分私钥SID和秘密值xID，但敌手AI可以替换用户(身份为ID)的部分公钥PID，并进行伪造攻击。敌手AI可假冒任意用户Alice对任意消息m′进行伪造盲签名，下面分两种情形来伪造盲签名：

第一种情形敌手AI(即签名请求者Bob)伪造签名者Alice(其身份为ID)对任意消息m′的盲签名，具体方法如下：

(3) AI计算：

H′=H2(ID,m′,U′)

则伪造签名为(ID,m′,(U′,V′))。由于签名者Alice没有对消息m′进行签名，显然(ID,m′,(U′,V′))对签名者Alice来说是盲的。同时(ID,m′,(U′,V′))是一个有效的签名，这是因为：

第二种情形敌手AI假冒签名者Alice(其身份为ID)为签名请求者Bob对消息m′生成盲签名，具体方法如下：

U′=αR′=αk′P

T′=βH2(ID,m′,U′)+γP

r=βαmodq

将(T′,r)发送给AI。

则敌手AI假冒签名者Alice(其身份为ID)伪造的盲签名为(ID,m′,(U′,V′))。显然(ID,m′,(U′,V′))是一个有效的签名，这是因为：

H′=H2(ID,m′,U′)

3H-Z-Q盲签名方案的改进及分析

3.1H-Z-Q盲签名方案的改进

H-Z-Q盲签名方案[12]的验证等式：e(V,P)=e(H,PID)e(QID,U)不能有效地证明签名者拥有合法的SID，从而无法避免敌手AI的公钥替代攻击。要有效地证明签名者拥有合法的SID，验证等式中应该出现e(QID,Ppub)。下面给出H-Z-Q盲签名方案[12]的改进方案：

1) 系统建立与原方案相同。

2) 密钥提取与原方案相同。

3) 签名发布 签名者Alice被请求者Bob请求对消息m执行盲签名：

c.签名Alice收到(T,r,U1)后，计算S = xIDT + k1rSID+ k2-1U1。将S发送给Bob。

d.脱盲Bob收到S后，计算V=β-1(S-γPID)。

则(U,V)为身份是ID的Alice对消息m的盲签名。

4) 验证验证者获取盲签名(ID,m,(U,V))后，利用Alice的公开密钥PID来计算QID=H1(ID,PID)，H=H2(ID,m,U)，验证等式：

e(V-P,P)=e(H,PID)e(QID,Ppub+U)

是否成立。如果成立，(ID,m,(U,V))为有效的盲签名；否则签名无效。

3.2改进方案的分析

1) 正确性分析

显然改进的方案是正确的，这是因为：

V-P=β-1(S-γPID)-P

=β-1(xIDT + k1rSID+ k2-1U1-γPID)-P

=β-1(xIDβH2(ID,m,U)+γxIDP+

k1βαSID+ k2-1βR2-γxIDP)-P

=xIDH + k1αSID+ k2-1k2(P + SID)-P

=xIDH+k1αsQID+sQID

故：

e(V-P,P)=e(xIDH,P)e((k1αs+s)QID,P)

=e(H,xIDP)e(QID,sP+αk1sP)

=e(H,xIDP)e(QID,Ppub+αk1Ppub)

=e(H,PID)e(QID,Ppub+U)

2) 安全性分析

改进的方案是安全的，能抵抗敌手AI、AII、AIII的伪造攻击。

(2) 改进的方案能抵抗敌手AII的攻击。由于验证等式中含有e(H,PID)=e(xIDH,P)，因此要使得伪造的盲签名通过验证等式，敌手必须知道U的秘密值xID。虽然敌手AII知道主密钥s，但他不能替代U的秘密值xID。因此敌手AII要得到xID，只能解PID=xIDP，则敌手具有求解椭圆曲线上离散对数问题的能力。

(3) 改进的方案可用追溯算法抵抗敌手AIII的攻击。

3) 性能分析

本文从运算量和安全性两个方面，将改进的方案与H-Z-Q方案[12]进行比较，比较结果如表1所示。令P、mul、exp、H 分别表示双线性对运算、标量乘运算、幂运算和哈希运算。

表1　改进方案与H-Z-Q方案[12]的比较

从表1可以看出: 改进方案与H-Z-Q方案[12]在验证过程中运算量相同，在签名过程中改进的方案运算量比H-Z-Q方案[12]增加了3个标量乘运算。但改进方案消除了公钥替换攻击和恶意的PKG攻击。

4结语

本文对H-Z-Q盲签名方案[12]进行了安全性分析，发现这个方案不能抵抗敌手AI的伪造攻击。敌手AI可假冒任何签名者伪造对任意消息进行盲签名并陷害诚实PKG。针对方案的安全缺陷，给出了其相应的改进方案及分析。改进的方案在验证等式添加了e(QID,Ppub)，有效地证明签名者拥有合法的部分私钥SID，从而克服了敌手的公钥替代攻击。

参考文献

[1] Chaum D.Blind signature for untraceable payments[C]//Advances in Cryptology- CRYPTO’83.Berlin:Plenum Press,1983:199-233.

[2] Shamir A.Identity-based cryptosystems and signature schemes[C]//Advances in Cryptology- CRYPTO’84.Berlin:Springer-Verlag,1984:47-53.

[3] Al-riyami S S,Paterson K G.Certificateless public key cryptography[C]//ASIACRYPT 2003,LNCS 2894.Berlin:Springer-Verlag,2003:452-473.

[4] Liao J,Xiao J F,Qi Y H,et al.ID-based signature scheme without trusted PKG[C]//Information Security and Cryptology 2005,LNCS 3822:53-62.

[5] 张学军,王育民.新的基于身份无可信中心的盲签名和代理签名[J].计算机工程与应用,2007,43(1):142-144.

[6] Yu Y H,Zheng S H,Yang Y X.ID-based blind signature and proxy blind signature without trusted PKG[C]//Proceedings of CSICC 2008,CCIS6.Berlin:Springer-Verlag,2008:821-824.

[7] 冯涛,彭伟,马建峰.安全的无可信PKG的部分盲签名方案[J].通信学报,2010,31(1):128-135.

[8] 张小萍,钟诚.高效无可信私钥生成中心部分盲签名方案[J].计算机应用,2011,31(4):992-995.

[9] Zhang Xiaozhi,Xi Junfu,Wang Dongmei.New ID-based proxy blind multi-signature scheme without trusted PKG[C]//International Conference on Electronics Communications and Control,2011:352-355.

[10] 周萍,何大可.安全无可信私钥生成中心的部分盲签名方案[J].计算机系统应用,2012,21(6):70-74.

[11] 周萍,何大可.高效无可信PKG的新型盲签名方案[J].计算机应用研究,2012,29(2):626-629.

[12] 何俊杰,王娟,祁传达.新的无可信私钥生成中心的盲签名方案[J].计算机应用,2013,33(4):1061-1064,1095.

中图分类号TP3

文献标识码A

DOI:10.3969/j.issn.1000-386x.2016.02.071

收稿日期：2014-05-19。国家自然科学基金项目(U1433130，6127 1413)；四川省重点基金项目(SZD0802-09-1)；西华大学重点实验室开放研究基金项目(S2jj2012-029)。李莎，硕士生，主研领域：密码学与信息安全。李虓，副教授。何明星，教授。罗大文，副教授。杜亚军，教授。