有指定秘书的_t_n_门限群签名体制

高校应用数学学报A辑

2005,20(2):1562160Appl.Math.J.ChineseUniv.Ser.A　

有指定秘书的(t,n)门限群签名体制谢　琪1,于秀源2

(11浙江大学数学系,浙江杭州310027;杭州师范学院信息工程学院,浙江杭州310012;21杭州师范学院数学系,浙江杭州310012;衢州学院数理系,浙江衢州　324000)摘　要:设计了一类只有指定的秘书才能发布有效群签名的可追查签名者身

份的(t,n)门限群签名体制Λ该体制的优点是:(1)验证的简单性;(2)系统更新时无须更改每个成员的子密钥;(3)成员的增加或删除不影响群中其他的成员;群中成员的子密钥可以无限制的使用;(5)t群签名Λ

关键词:;;:::100024424(2005)0220156205

§1　引　言

门限密码学是密码学的重要分支,而门限数字签名是门限密码学的重要分支Ζ(t,n)门限群签名是任意t个或更多个成员合作生成代表群的有效签名的体制Ζ

自从[1]于1991年首次提出(t,n)门限群签名以后,门限数字签名得到了广泛的研究,提出了各种各样的(t,n)门限群签名方案Ζ如[2]提出了两个(t,n)门限群签名方案,一个可以追查签名者身份,另一个不可以Ζ文献[3—5]分别给出了不同的攻击方法,证明[2]的方案无法抵抗其他小组冒充该小组生成有效的签名、不具备可追查性[3];无法抵抗恶意攻击者的伪造攻击[4,5]Ζ[6]提出了改进门限RSA数字签名体制,文献[3]指出它无法抵抗合谋攻击Ζ所以已有的(t,n)门限群签名体制共同的弱点是无法抵抗合谋攻击,这是因为群中的任何t个或更多个成员合谋可以恢复秘密多项式,借助公开的身份,他们可以恢复群中所有成员的密钥,从而任何一组人可以合谋假冒另一组成员产生代表群的有效签名和身份验证方程Ζ所以设计出性能良好的(t,n)门限群签名体制被认为是open问题[3,4]Ζ

考虑到实际应用的需要,在构造群签名的过程中,往往指定一个秘书承担群签名的合成与发布任务,但他并不参与对消息的签名Ζ一般的做法是,当群签名生成后,指定的秘书需要

收稿日期:2004206201

基金项目:国家自然科学基金(10271037)

谢　琪等:有指定秘书的(t,n)门限群签名体制157

对群签名进行签名,群签名的接收者先验证群签名确实是由指定的秘书发布的,然后再验证群签名的合法性Ζ本文基于离散对数问题,设计了一类只有指定的秘书才能发布有效群签名的可追查签名者身份的(t,n)门限群签名体制,而群签名的接收者只需利用群公钥和指定秘书的公钥验证群签名,即只需验证一个等式就可以确定是合法的群签名Ζ而且该体制在系统更新时,无须更改每个成员的子密钥,群中成员的子密钥可以无限制的使用;成员的增加或删除不影响群中其他的成员;而且t个成员合谋无法假冒其他成员生成有效的群签名Ζ

§2　(t,n)门限群签名体制

这一节基于离散对数问题构造了一类安全的只有指定秘书才能发布有效群签名的可追查签名者身份的(t,n)门限群签名体制,它由系统初始化、个体签名的生成、个体签名的验证

(t,n)门限群签名的验证和身份追查四部分组成Ζ和(t,n)门限群签名的生成、

211　系统初始化

由系统产生以下参数:θ和q,满足pθ是(pp,11系统取三个大素数p,p

θ)中阶为q( )Α是GF(p

γi∈RUi的子密阴,并计算群中每个21取q、s

siIDPi=gIDSimodp(i=1,2,…,n)ΖΑodp

γγssiiθ(i=1,2,…,n),并任选t对值(IDSi,Αθ)(不妨设i=1,2,…,t)利3Αmpmodp

t-1

用拉格朗日插值定理构造秘密多项式f(x)=∑axi

i=0i(modq),然后把n-t个IDSi代入秘γsiθ)(i=t+1,t+2,…,n),显然对于密多项式,求得f(IDSi),并计算ci=Α-f(IDSi)(modp

i=1,2,…,t有ci=0Ζ

γsiθ),公钥yi=gximodp;41显然群中每个成员Ui的密钥为xi=f(IDSi)=Α-ci(modp

()群密钥为f(0),群公钥为y=gf0modpΖ

scθ和公钥yc=51任取sc∈RZq为指定秘书(DC)的秘密值,计算DC的私钥xc=Αmodp

gcmodpΖx

γi)密送给群中的每个成员Ui,把sc密送给DC,在公告栏中公布(p,pθ,61把子密钥(si,s

,H( ),IDPi,ci,yi,y,yc)(i=1,2,…,n)Ζq,g,Α

212　个体签名的生成

设m是被签名的消息Ζ不失一般性,不妨设参加(t,n)群签名的t个人为(U1,U2,…,Ut),他们一起执行下列步骤完成个体签名Ζ

siθ和密11每个Ui和DC从公告栏中获取相关参数,计算自己的秘密身份IDSi=Αmodp

γsiscθ),xc=Αθ,这些值可以预计算Ζ钥xi=Α-ci(modpmodp

21每个Ui任取ki∈RZq,计算ri=gkimodp,IDPkjimodp(j≠i),并把(ri,IDPkjimodp)广播给其他成员Ζ

Sj31所有成员不妨设Uj收到其他成员的(ri,IDPkjimodp)后,验证rID=IDPkji的正确i

性Ζ若所有的验证式都正确,则把IDSi秘密发送给其他成员Ζ

158

t高校应用数学学报A辑第20卷第2期

41每个Ui计算r=∏i=1ri=gi=1modp,ei=∑kittθ)H(m)xiei+rki=ai(modpj=1,j≠i∏,并计算IDSi-IDSj(1)

得到个人签名消息(ri,ai,ei)Ζ

51每个Ui把他的个人签名消息(ri,ai,ei)发送给DCΖ

213　个体签名的验证和(t,n)门限群签名的生成

t

当收到所有的个人签名消息(ri,ai,ei)后,DC计算r=

验证个人签名的合法性:

yiH(m)eiri∏r=ii=1gi=1modp,并通过下式∑kitar=gi(modp)　(i=1,2,…,t)Ζ

t(2)

若所有的方程成立,则DC计算a=∑a

i=1i+xc(modp),得到(t,n)门限群签名(a,r)Ζ

定理1　如果所有的人遵守签名协议,他们的个体签名必能通过(2)(m)eirH(m)xieirkia证　由签名过程可知,对i=1,2,…,t,yHiggi,个人i

签名是正确的Ζ

214　(t,n)(t,n)(,后,利用群公钥y和DC的公钥yc来验H(m)ra(3)yryc=g,

从而可以确定该签名是否有效Ζ

定理2　如果所有的人遵守签名协议,得到的(t,n)门限群签名(a,r)必能通过(4)式的验证Ζ

证　由签名过程可知,下面的式子成立:

g=ga∑t

aii=1=gH(m)∑t

xiei+rki+xci=1i=1∑t=gH(m)∑t-IDSxiIDSi-IDSji=1j=1,j≠it∏gr∑kii=1tyc=yH(m)ryc(modp)Ζr

所以,群签名是正确的Ζ

如果事后发生争执,DC可以公开(ri,ai,IDPi),所有人都可以通过验证(2)式确认真正的签名者Ζ

§3　安全性分析

311　系统更新

当产生一次有效的(t,n)门限群签名后,系统重新选取生成元λ,利用211节的方法,计Α

算群公钥θ群中每个成员的公开身份IDPi、公钥yi和密钥的偏差量ci,并在公y,DC的公钥yc、λ,计算自己的秘告栏中更新(λ,θΑy,yc,yi,IDPi,ci)Ζ群中每个成员可以从公告栏中获取参数Α

γγsissiλλλθθθ,以备下次签名之用Ζ密身份IDSi=Αmodp和密钥xi=Α-cimodp,xc=Αcmodp

当有新成员加入时,系统只需给他两个子密钥sn+1和sn+1,并在公告栏中公布他的公钥公开身份IDPn+1和偏差量cn+1,其他参数不变Ζyn+1、

当要删除某些成员时,只需在公告栏中删除他们的公开身份、公钥和偏差量,即宣布他们的身份无效,其余不变Ζ

显然,每次签名没有泄露群中每个成员和DC的秘密值,而系统更新确保所有的密钥达到一次一密的效果,使得前一次的签名不会影响后一次签名的安全性Ζ当删除的成员数即使达到门限值,对系统的安全性也没有威胁Ζ

312　攻击者无法伪造有效的群签名

攻击者无法从公开的(IDPi,yi,y,yc)中获知对应的(IDSi,xi,f(0),xc),因为这是离散对数问题Ζ而利用公开的参数也无法从(1)式获知(xi,ki),因为这是不定方程解的不确定性所决定的Ζ下面讨论攻击者不知道密钥的前提下无法利用替换攻击方法[5,7,8]伪造群签名Ζ

11攻击者无法从群签名验证方程伪造有效的签名

w设r=yuyvcg,由(3)式得到下列同余方程组:

θ),vr+1=0(modpθ),wr=a(modpθ).ur+H(m)=0(modp

从上述的同余方程组中解得(u,v,w)是困难的,;(u,v,

{,则只有以可以忽略的概率满足Hm=0)0(modw),对任取的m

θ),所以伪造失败Ζp

21t

iiri=,rii∏rmodi

i=1{,xi和ei,使得p,任取mt∑xi=1iei=

),1)vir+1=0(modpθ),wir+xieiH(m{)=ai(modpθ)Ζ显f(0)θ),所以伪造失败Ζ然,任取的vi和wi只有以可以忽略的概率满足vir+1=0(modp

31t个成员合谋无法假冒其他成员生成有效的群签名

t-1

由于t个成员合谋,可以恢复秘密多项式f(x)=∑axi

i=0i(modq),从而知道群密钥,但

由于他们不知道其他成员的秘密身份,也不可能从其他成员的公开身份获知对应的秘密身份,所以无法知道其他成员的密钥,从而无法假冒其他小组生成有效的群签名Ζ

下面讨论t个成员在不知道其他成员的密钥和秘密身份的情况下替换攻击也无效Ζ设rwθθ=yvcg,由(3)可得同余方程组　vr+1=0(modp),wr+f(0)H(m)=a(modp).从上述的同余方程组中解得v和w是困难的,因为这是离散对数问题;若任取v和w

θ),所以伪造失败Ζ则只有以可以忽略的概率满足vr+1=0(modp

313　验证的匿名性和身份的可追查性

从验证方程(3)可知,任何人可以利用群公钥和DC的公钥验证签名的正确性,但无人知道真实的签名者Ζ但当事后出现争执时,DC公开个人签名可以查出真正签名者的身份,如果从DC公开的个人签名中无法追查到签名者的真实身份,则DC必须承担责任Ζ结束语

本文基于离散对数问题,设计了一类只有指定的秘书才能发布有效群签名的可追查签名者身份的(t,n)门限群签名体制Ζ其优点是(1)秘书并不参与对消息的签名,而群签名的接

收者只需一次验证即可确定群签名的有效性而且是DC发布的;(2)系统更新时,无须更改每个成员的子密钥;(3)成员的增加或删除不影响群中其他的成员;(4)群中成员的子密钥可以无限制的使用;(5)t个成员合谋无法假冒其他成员生成有效的群签名Ζ所以,本方案可以应用于电子商务和网络安全通信等方面Ζ

参考文献:

[1]DesmedtY,FrankelY.Sharedgenerationofauthenticatorsandsignatures[A].In:Advancesin

Cryptology2CRYPTO’91[C].1991:4572469.

[2]WangCT,LinCH.Thresholdsignatureschemeswithtraceablesignersingroupcommunications

[J].ComputerCommunications.1998,21(8):7712776.

[3]王贵林,卿斯汉.几个门限群签名方案的弱点[J].软件学报,2000,11(10):132621332.

[4]TsengYM,JenJK.Attacksonthresholdsignatureschemeswithtraceable[J].

InformationProcessingLetters,1999,71:124.

[5]Li,ZC.SecurityofWangetal.’sgroup2oriented(t,esle

signers[J].InformationProcessingLetters,.

[6]徐秋亮.改进门限RSA[J],(2453.

[7]NybergK,Rrreschemesbasedonthediscretelogarithm

].].1822193.

[8]Chi,Laihi2Sung.CryptanalysisofNyberg2Rueppel’sMessageRecoveryScheme[J].

unicationLetters,2000,4(7):2312232.

A(t,n)thresholdgroupsignatureschemewithdesignatedclerk

XIEQi,YUXiu2yuan12

(1.Dept.ofMath.,ZhejiangUniv.,Hangzhou310027,China;SchoolofInformationandEngineering,HangzhouTeachersCollege,Hangzhou310012,China;2.Dept.ofMath.,HangzhouTeachersCollege,

Hangzhou310012,China;Dept.ofMath.andPhys.,QuzhouCollege,Quzhou324000,China)Abstract:A(t,n)thresholdgroupsignatureschemewithtraceabilitybasedondesignatedclerkisproposed.Themainmeritsarethattheverificationofthegroupsignatureisefficient,itneedsnottorenewthemembers’shadowswhenthesystem

.Inaddition,anytmemberscannotrenewed,andallmemberscanreusetheirshadows

impersonateanothersetofgroupmemberstosignanymessage.

KeyWords:digitalsignature;thresholdgroupsignature;designatedclerk

MRSubjectClassification:11T71

本文来源：https://www.bwwdw.com/article/yhwe.html