[硕士论文精品]关于指定验证者签名的研究.pdf

摘要 指定验证者签名，是指被指定的验证者能够验证签名是签名者的合法签名， 然而他不可能让其他任何人相信这是签名者的合法签名，因为被指定的验证者 自己也能产生合法的签名。即使知道了签名者和被指定的验证者的私钥，也无 法断定签名是谁产生的。也就是说，它通过牺牲签名的不可否认性完美地解决 了“保密”和“真实”发生冲突的问胚。 强指定验证者签名是一种特殊的指定验证者签名，在该协议中，由于在验 证签名过程中要用上被指定的验证者的私钥，所以只有被指定的验证者才有能 力验证签名。 然i i i 0 5 年l i p m a a 等人指出：为了满足指定验证者签名的本意，任何方案的 设计必须满足不可授权性。简单地说，就是对消息m 签名是用签名者( 或者被 指定的验证者) 的私钥s k s ( s k o ) ，而不是使用函数f ( s k s ，p k o ) ( f ( s k o ，p s ) ) 对 消息进行签名。他们提出的授权攻击攻破了所有的强指定验证者签名方案。最 近，s u s i l o 等人证明：对强指定验证者签名而言l i p m a a 等人发现的不可授权的概 念太强，而将没有满足要求的强指定验证者签名方案。因此他们对强指定验证 者签名重新构造了新的术语“弱不可授权性”。 本文在对指定验证者签名的研究中，主要做了如下一些工作： 首先，本文指出l i p m a a 等人不可伪造性证明存在漏洞，重新证明了该方案 的安全性，并把授权攻击的概念推广到环签名上l i p m a a 等人虽然提出了安全 的指定验证者签名模型和方案，但是他们的不可伪造性证明中由于区分器构造 的不合理，导致其证明是不正确的：本文在不可程序化随机预言机模型下重新 给出不可伪造性定理的证明。l i p m a a 等人提出的签名权的授权攻击不仅对( 强) 指定验证者签名方案有效而且对某些环签名方案也是有效的，如b e n d e r y 等人 的2 用户环签名方案，因此用该方法成功攻击了b e n d e r y 等人的2 用户环签名方 案。 其次，本文建立了强指定验证者签名的新的安全模型，并证明s u s i l o 等人的 论点是不正确的本文形式化定义了在授权情况下签名者身份的保密性一签 名者身份的强保密性。在该概念里，要求在考虑泄露任何部分信息的攻击下( 除 生日祝福短信http:/www.zhufuyu.us 关于指定验证者签名的研究 了参与者的私钥) ，方案也满足签名者身份的保密性。然后证明该概念与共享 密钥的授权和强指定验证者签名的概念都是一致的、相容的。相反，s u s i l o 等人 定义的弱不可授权性却是冗余的，使指定验证者签名与强指定验证者签名从概 念上产生矛盾。因为l i p m a a 等人的不可授权并未考虑到强指定验证者签名方 案，而s u s i l o 等人假想只存在唯一的方式构造强指定验证者签名( 使用共享密 钥) ，同时忽略了所有强指定验证者签名都是指定验证者签名的事实，所以激 于j a k o b s s o n 等人定义的强指定验证者签名的原始概念，本文提出了正确的强指 定验证者签名的模型，并证明存在满足该模型的方案。 随后，本文构造出安全的强指定验证者签名方案首先构造基于双线性对 的基础签名方案，它是b o n e h 等人短签名方案的变型。然后证明了在随机预言 机模型下，假设r c d h 问题是难问题的情况下该方案是不可伪造的。随后证明 了b o n e h 等人的环签名方案当参与者只有2 个时是指定验证者签名方案1 ，并在 此基础上构造了强指定验证者签名方案。同时证明了该方案是安全的强指定验 证者签名方案。而本文的基础签名方案还可以构造安全可证明的盲签名方案。 最后，提出弱指定验证者签名的概念，并给出安全模型和构造出安全的方 案( 强) 指定验证者签名是在牺牲签名的不可否认特性的情况下，解决了“保 密性”和“真实性”发生冲突的问胚。然而在实际应用中，由于参与双方身份的 差异决定了签名需要不可否认特性。因此本文提出弱指定验证者签名的概念， 即在保留签名的不可否认特性的条件下，达到既“保密”又“真实”的目的。弱 指定验证者签名是指：签名者的签名只有被指定的验证者才有能力验证，而其 他任何用户在没有得到关于消息签名的部分信息的情况下，是无法验证该签名 的( 即在没有验证者的帮助下是无法验证该签名的) 。本文给出了弱指定验证者 签名的定义，及其安全模型。同时提出了安全可证明的弱指定验证者签名方案 和它的一个应用。 关键词：签名，指定验证者签名，随机预言机模型，双线性对，授权 1 斑v 西t 等人指出2 _ 用户的环签名方案是指定验证者签名方案，那时还未考虑到授权攻击模型现 在2 用户的环签名方案只要是不可授权的才为安全的指定验证者签名方案 a b s t r a c t d e s i g n a t e dv e r i f i e rs i g n a t u r e ( d v s ) ，e n a b l e sas i g n e rt os i g nam e s s a g es o t h a tt h ed e s i g n a t e dv e r i f i e rc a nv e r i f yi ti sc o m i n gf r o mt h es i g n e r b u tt h ed 睁 i g n a t e dv e r i f i e rc a n n o tc o n v i n c et h et h i r dp a r t yb e l i e v ei t s i n c eh eh i m s e l fc a n p r o d u c et h es i g n a t u r e a l t h o u g hs o m e o n ek n o w st h es e c r e tk e yo fs i g n e ro r d e s i g n a t e dv e r i f i e r ，h ec a nn o tk n o ww h o i ss i g n e re x c e p tf o rs i g n e ra n dt h ed e s - i g n a t e dv e r i f i e r t h a ti st os a y ，d v si sp e r f e c t l ys o l v i n gc o n t r a d i c t i o np r o b l e m o f “p r i v a c y a n d “r e a l i t y ”b yl o s i n gn o n - r e p u d i a t i o n s t r o n gd e s i g n a t e dv e r i f i e rs i g n a t u r e ( s d v s ) i sas p e c i a ld v s i ns d v s ，v e r - i f y i n ga l g o r i t h mo fs i g n a t u r em u s tb eu s e dt h es e c r e tk e yo fd e s i g n a t e dv e r i f i e r ， t h u so n l yt h ed e s i g n a t e dv e r i f i e ri sc a p a b l eo fv e r i f y i n gt h ev a l i d i t yo ft h es i g n a - t u r e ， h o w e v e r ，i n2 0 0 5 ，l i p m a ae ta 1 p o i n t e do u tt h a ta n yd v ss c h e m eh a dt o s a t i s f yt h ep r o p e r t yo fn o n - d e l e g a t a b i l i t yo fs i g n i n gr i g h t sa c c o r d i n gt oo r i g i n a l d e f i n i t i o no fd v s s i m p l et os a y , n o n - d e l e g a t a b i l i t yo fd v ss c h e m ei st or e q u i r e s i g n e r ( d e s i g n a t e dv e r i f i e r ) t os i g nam e s s a g eb yu s i n gt h es i g n e r ss e c r e tk e y s k so rd e s i g n a t e dv e r i f i e r ss e c r e tk e ys k o ) ，b u tn o taf u n c t i o n f ( s k s ，p k d ) ( f ( p k s ， s 幻) ) a n dt h ed e l e g a t i n ga t t a c kb r o k eo u ta l ls d v ss c h e m e s r e c e n t l y s u s i l o e ta 1 s h o w e dt h a tt h ea p p l i c a b i l i t yo ft h en o n - d e l e g a t a b i l i t yn o t i o nd i s c o v e r e d b yl i p m a ae ta 1 w 硒t o os t r o n gt ob ei m p l e m e n t e di ns t r o n gd e s i g n a t e dv e r i f i e r s i g n a t u r e ( s d v s ) s c h e m e s t h e r e f o r e ，t h e yr e - c o i n e dan e wt e r mc a l l e d v e a k n o n - d e l e g a t a b i l i t y ”f o rt h es t r o n gd v sv a r i a n t s t h i st h e s i sh a v ed o n es o m ew o r k 髂f o i l o w so nd v s ： f i r s t l y , 叫ep o i n to u tt h a tt h e r e 1 1 ) 0 , 8n o tc o r r e c ti np r o o fo yu n f o r g e a b i l i t ya n d r e p r o o t h eu n f o r g e a b i l i t y , t h e nw ee x t e n dn o n - d e l e g a t a b i l i t yt or i n gs i g n a t u r e w es t u d yd e l e g a t a b i l i t yo fd v ss c h e m e s a l t h o t i g hl i p m a ae ta 1 s h o w e dt h e i r s c h e m ei ss e c u r e ，t h e r ee x i s t sab u gi np r o o fo fu n f o r g e a b i l i t y , w em o d i f yt h e p r o o fi nt h en o n - p r o g r a m b l er a n d o mo r a c l e w ed i s c o v e rt h a ta t t a c ko fd e l e g a t i n g s i g n i n gr i g h t si sn o to n l ya v a i l a b l et o ( s ) d v ss c h e m e ，b u ta l s os o m er i n gs i g n a t u r e 生日祝福短信http:/www.zhufuyu.us 关于指定验证者签名的研究 s c h e m e s s u c ha sb e n d e r ye ta 1 s2u s o r - r i n gs i g n a t u r es c h e m e s w es h o wt h a t b e n d e r ye ta 1 s2u s e r - r i n gs i g n a t u r es c h e m e sa r ed e l e g a t a b l e s e c o n d l y , 锄ef o r m a l i z et h es e c b r em o d e l o rs d v ss c h e m e sa n ds h o ws u s i l o 甜缸台i d e aw a , sw r o n g ，w ef o r m a l l yd e f i n et h en o t i o no fs t r o n gp m v a c yo f s i g n e r s i d e n t i t yf o rs d v s w h i c hi st h ep r i v a c yo fs i g n e r si d e n t i t yu n d e rd e l e g a t a b i l i t y n o t i o n i nt h i sn e wn o t i o n ，w er e q u i r et h a ti fw ec o n s i d e rt h ea t t a c ko fr e v e a l i n ga n ys i d eo fi n f o r m a t i o nf o rs d v ss c h e m e sf e x c l u d i n gt h es e c r e tk e y so ft h e p a r t i c i p a n t s ) t h e nt h es c h e m em u s ts a t i s f yt h ep r o p e r t yo fp r i v a c yo fs i g n e r s i d e n t i t y ( p s i ) s e c o n d l y , w es h o wt h a to u rn o t i o nn o t i o ni sc o n s i s t e n tw i t ht h e n o t i o no fc o m m o nk e yd e l e g a t i o na n dt h ec o n c e p to fs d v s ，i nc o n t r a s tt ot h e w e a kn o n - d e l e g a t a b i l i t yn o t i o nt h a ti sr e d u n d a n ta n dp r o d u c ei n c o n s i s t e n c yb e - t w e e nd v sa n ds d v s f o rt h ef i r s tt i m ei nt h el i t e r a t u r e ，t h i sp a p e rc l a r i f i e s t h en o t i o nb e t w e e nd v sa n ds d v s ，s i n c el i p m a ae ta 1 sn o n d e l e g a t a b i l i t yn o - t i o nd o e sn o tr e a h yc o n s i d e rs d v s m e a n w h i l es u s i l oe ta l sw o r ka s s u m e dt h a t t h e r ee x i s t so n l yo n ew a yt oc o n s t r u c ts d v sa n dn e g l e c t i n gt h ef a c tt h a ta l l s d v ss c h e m e sa x ei n d e e dd v s a sm o t i v a t e di nt h eo r i g i n a lp a p e rb yj a k o b s s o n ， s a k oa n di m p a g l i a z z o t h i r d l y , w ec o n s t r u c tas e c b r ee 师c i e n ts d 坩s c h e m e w e f i r s tc o n s t r u c tb a - s i cs i g n a t u r es c h e m e w h i c hi sv a r i a t i o no fb o n e he ta 1 ss h o r ts i g n a t u r es c h e m e w es h o wi t ss e c u r i t yi nr a n d o mo r a c l em o d e lb yu s i n gb o n e he ta l ，sm e t h o d w h e r e a f t e r w es h o wb o n e he t 出sr i n gs i g n a t u r es c h e m ei sd v ss c h e m ew h e n t h e r ea x eo n l y2u s e r s 2 a n dw ec o n s t r u c tas d v ss c h e m eb a s e dt h i sd v ss c h e m e a n ds h o wt h es c h e m ei ss e c u r es d v ss c h e m e a tt h es a m et i m e w eu s et h eb a s i c s i g n a t u r es c h e m et od e s i g nt w op r o v a b l ys e c u r eb l i n ds i g n a t u r es c h e m e s f i n a l l y , w ep r e s e n tan e wn o t i o no fw e a kd e s i g n a t e dv e r i f i e rs i g n a t u r e ，t h e n f o r m a l i z ei t ss e c b r em o d e l a n dc o n s t r u c tt w os c h e m e s ( s ) d v ss o l v e st h ep r o b l e m o fc o l l i s i o nb e t w e e n “p r i v a c y ”a n d “r e a l i t y ”b yl o s i n gt h ep r o p e r t yo fs i g n e r s n o n r e p u d i a t i o n h o w e v e r ，i ns o m er e a lw o r l d ，s i n c ei d e n t i t y o fp a r t i c i p a n t s i sd i f f e r e n t ，n o to n l yi tr e q u i r e ss i g n a t u r e sn o to n l yt oh a st h ep r o p e r t yo fn o n - 2 r i v e s te ta 1 p o i n t e do u tt h a t2 - u s e rr i n gs i g n a t u r es c h e m e sw e r ed e s i g n a t e dv e r i f i e rs i g n a t u r e s c h e m e s h o w e v e r ，a tt l m tt i m et h e yd i dn o tc o n s i d e ra t t a c ko fd e l e g a t a b i l i t y s on o w a d a y sbs c h e m e i sd e s i g n a t e dv e r i f i e rs i g n a t t t r es c h e m e t h es c h e m ei sd e l e g a t a b l e 第。章a b s t r a c t r e p u d i a t i o n b u ta l s o “p r i v a c y ”a n d “r e a l i t y ”t h u s w ei n t r o d u c ean e wc o n c e p t o fw e a kd e s i g n a t e dv e r i f i e rs i g n a t u r e ( w d v s ) w d v se n a b l e sa s i g n e rt os i g na m e s s a g es ot h a tt h ed e s i g n a t e dv e r i f i e ri st h eo n l yo n ew h oc a nv e r i f yw h e t h e r as i g n a t u r ei sv a l i do rn o t ( a n yo t h e ru s e r se x c e p ts i g n e ra n dt h ed e s i g n a t e d v e r i f i e rc a nn o tv e r i f yt h es i g n a t u r e sw i t h o u tt h eh e l po fs i g n e ra n dt h ed e s i g - n a t e dv e r i f i e r ) ，b u tt h a tt h ed e s i g n a t e dv e r i f i e rc a ng e n e r a t ev a l i ds i g n a t u r e si s c o m p u t a t i o n a l l yi m p o s s i b l e w ep r e s e n t sd e f i n i t i o no fw d v sa n di t ss e c u r i t y m o d e l m e a n w h i l e ，h e r ew ep r o p o s et w os e c u r ew d v s ，o n ei sb a s e do nb l s s h o r ts i g n a t u r es c h e m e ，a n o t h e ri sb a s e do nb a s i cs i g n a t u r es c h e m ei nt h i st h e s i s k e y w o r d s ：s i g n a t u r e ，d e s i g n a t e dv e r i f i e rs i g n a t u r e ，r a n d o mo r a c l em o d e l b i l i n e a rp a i r i n g s ，d e l e g a t a b i l i t y 生日祝福短信http:/www.zhufuyu.us 第一章引言 数字签名是最早融入密码学的元素之一，其拓宽了密码学研究的领域，使之 从特殊的安全通信问题扩展到有关限制系统内外成员用“不诚实”的行为窃取信 息的各种问题，从而形成现代密码学。早在1 9 7 6 年，d i f f i e 和h e l l m a nf 1 1 就提出此 概念( 预印稿在1 9 7 5 年十二月就已经分发出来了) ，它使密码学的内容变得更 丰富多采。随着商务电子化、政务电子化的发展，数字签名在不同的应用背景下， 产生出不同的特殊签名概念，如不可否认签名( u n d e n i a b l es i g n a t u r e ) 、盲签 名( b l i n ds i g n a t u r e ) ，1 1 、群签名( g r o u ps i g n a t u r e ) 5 】、环签名( r i n gs i g n a t u r e ) 6 等。 例如，在电子商务及政务中，我们可能会遇到如下的案例。 假设浙江省政府在造杭州湾大桥之前希望通过拓标的形式把该项目交 给某个公司各公司在投标的标书中肯定有该项目的报价，以及项目的 运转和完成要迭到的目标等等具体的情况为了确保各个公司的投标 书的内容是可信的，且来源与标书里的公司一致，浙江省政府肯定要求 各公司都要对标书进行签名 要求对标书进行签名，这是一个合理的要求。但是这些投标的公司都不想 它们自己的投标意向被别的公司知道，相反却想知道别的公司的标书意向。也 就是说，一个公司如果得到其竞争对手签名后的投标书，为了增加投标成功的 机会，该公司会提供一份让浙江省政府更容易接受的投标书。每家公司为了阻 止其它公司得到其签名的投标书，似乎可以通过加密的方式把签名的投标书递 交，使其只能被浙江省政府得到并验证。这好象是个简单而有效的方案。难道 真的这么简单就解决了问题? 似乎不行，如果政府? 1 1指定验证者签名 其实，在电子世界和真实世界一样，并不是任何个人、组织都希望自己的 签名文件能被任何人验证。换句话说，有时候我们希望签名的验证是签名者可 控制的，只有签名者同意才能被验证。例如：一个软件开发商在他们的产品里 添加了数字签名，以保证产品被认证是正确的，无病毒的，等等，但是只有买了 产品的用户才能验证其签名的合法性。为了解决诸如上述使签名者完全控制签 2关于指定验证者签名的研究 名的问题，1 9 8 9 年，c h a u m 和a n t w e r p e n 【3 1 3 提出了不可否认签名的概念。也就是 说，为了避免不希望的验证者获得签名合法性，借助于交互式协议，使这类签名 的验证需要签名者的参与。 但是由于存在勒索( b l a c k m a i l i n g ) 攻击【_ ，h 】和黑手党( m a f i a ) 攻击m ，这类签 名总不能达到预期的目的。其主要的问题是因为签名者不知道他要向谁提供签 名的合法性证明。 不可否认签名的这个缺陷激发了j a k o b s s o n 等人1 提出了指定验证者签 名( d e s i g n a t e d v e r i f i e rs i g n a t u r e ) 的概念，同时c h a u m 1 1 介绍了秘密签名( p r i v a t e s i g n a t u r e ) 的概念。这两者都是基于相同的思想。 指定验证者签名，顾名思义，即除了被指定的验证者外其他任何人都不能 验证的签名。换句话说，指定验证者签名的真实性只有被指定的验证者能判断， 而对其他任何用户都是保密的。这是一个解决“保密性”和“真实性”发生冲突 的问题。指定验证者签名以损失传统数字签名的不可否认性，提供了对消息的 一种认证。与标准的数字签名不同，它只有仅仅一个特别指定的用户( 称为被 指定的验证者) 能验证消息的合法性，对消息的签名是否是签名者的合法签名， 而别的任何用户是不能确信的。其不能确信的原因在于：被指定的用户自己也 能产生签名，而且与签名者产生的签名是不可区分的。因此，当被指定的验证 者b o b 收至l j a l i e e 给他的签名时，因为他自己没有产生该签名，所以他能确信签 名是a l i c c 产生的，并且验证其是否合法。但是，其他的用户，如c i n d y ，就无法 接受签名是a l i c e 的，因为b o b 也可能是消息的签署者。 j a k o b s s o n 等人【1 i 】j 用下 面简单的描述解决了该问题。 假设只有参与的双方才能判断证明的正确性，月拓希望向b o b i l 正明命 题“1 ，是真的”，a l i c e 将向b d 妊明命题“或者1 ，是真的，或者我是b o b ”来 代替原命题 显然，a l i e e 向b o b 证明命题“或者秽是真的，或者我是b o b ”是“真的”，由 于a l i c e 无法证明她是b o b ，所以她只能证明一是“真的”；而如果b o b 向其他用 户，c i n d y ，证明命题“或者秽是真的，或者我是b o b ”是“真的”，他刚好可证 明“我是b o b ”，所以，虽然b o b 能证明该命题是“真的”，但是他无法使c i n d y 相 信“毋是真的”。 这不正是解决上面案例的方法吗! 实际上，对每家公司而言，一方面它们 希望自己的标书只有政府能得到。并验证其真实性，而另一方面它们又希望得 生日祝福短信http:/www.zhufuyu.us 第一章引言 3 到其它公司的标书及其签名。而对政府而言，它更希望公司之间的标书是透明 的，是相互竞争的，这样可用最小的代价得到最大的回报。所以，公司如果通过 加密的方式提供标书和签名，可以满足只能被政府得到和验证，但是，政府完全 有可能解密后泄露标书和签名，而某个公司为了得到该项目，一定会据之调整 自己的标书。所以，通过加密的方式把签名的投标书递交不能阻止政府“不诚 实”的行为，是不能解决问题的。但是如果用指定验证者签名方案，a l i c e 代表投 标公司，b o b 代表政府，而c i n d y 代表另外的投标者，如上所述就可以完全解决 该问题。 在文献f 1 2 ，p p6 6 2 1 中还提到下面一个应用一电子投票：选举中心在收到 投票者c a r o l 的投票后，必须发送给c a r o l - - 个收据，使她相信已经正确地统计了 她的投票。在这里，选举中心让c a r o l 相信中心收据的正确性是非常重要的，必 须防止武装胁迫者m a l i c e 强迫c a r o l 投他要的候选人。现在如果收据是利用指定 验证者签名技术构造的，那么m a l i c e 就不能验证正确性：因为c a r o l 也可生成一 份选取m a l i c e 想要选的候选人的收据。 未来的世界是电子的世界，所有的商务活动都有可能在网上进行，指定验 证者签名还可以使你在网上进行安全地讨价还价1 。 1 2指定验证者签名研究的现状 在文献f 1 0 1 中，j a k o b s s o n 等人介绍了两个信任模型：一、指定验证者：暗藏 的验证者c i n d y 不信任参与的双方( 签名者a l i c e 、验证者b o b ) ，认为他们都有 可能产生0v 砂口曲是“真的”的证明，其中加曲是b o b 私钥的知识的证明；二、强 指定验证者：暗藏的验证者c i n d y 信任b o b ，相信他只是一个相当诚实的验证者， 不会是签名者。然而，c i n d y 试图通过“合法的”交互协议欺骗b o b ，使她确信0v 妒b 曲是“真的”。第二个模型是比较弱的信任模型，因此相应的它能得到更强的 安全性。迄今，所有的( 强) 指定验证者签名方案都是遵从这两个信任模型的。 在文献1 0 1 中给出了如下的定义。 假设( ，p s ) 是 f i c e 向且。推明命题目是。真的”的协议如果对任何包含a l i c e b o b 和a n 妇的协议( f _ ，尼，p c ) ，曰0 6 能向d 班明口是“真的”，那么存在协议( 彤，尼) 使 得日0 6 能完成鹾的计算，i j c i n 不可能把( n ，晶，尼) 的副本( 抛吻0 从( 彤，) 的副 本中区分出，则称b o b s 4 5 定验证者 4 关于指定验证者签名的研究 假设( p ，p b ) 是 “向口口啦明命题口是“真的”的协议如果对任何包含a l i c e 、b o b d a w 和a n 妇的协议( f _ ，p b ，0 ，尸b ) ，d a v e 能向a 仃d 班明疗是“真的”，那么存在协议( j 口岛， 尼) 使得d d 口e 能完成的计算，且a n 咖不可能把( ( 巳，尸b ，尸b ，恐) 的副本从( ，f b ) 的 副本中区分出，则称b o b 是强指定验证者 利用陷门承诺方案( t r a p - d o o rc o m m i t ) 1 4 l ，文献 0 】中给出了安全的指定 验证者签名方案1 。为了得到强指定验证者，文献【10 1 建议通过使用概率加密 方案【l j 】，即：用被指定验证者的公钥加密指定验证者签名的副本2 。这能保 证c i n d y 在不知指定验证者的私钥的情况下，既不能验证签名，又不能把副本从 相同长度和分布的随机字符串区分出来。然而，不管是直接用公钥加密副本，还 是用公钥加密方案先加密会话密钥，再用会话密钥加密副本，这都会增加算法 的运算量和签名长度。0 1 年r i v e s t 等人指出，2 - 用户的环签名是指定验证者签 名。 虽然文献【1 0 】中( 强) 指定验证者的定义清楚地说明了：当b o b 收至t j a l i c e 的 证明( 签名) 以后，如果他l 旬c i n d l y 证明命题是“真的”，那么b o b 自己也能 产生不可区分的副本。因为无论什么样的“真实”副本，b o b 总能产生“模 拟”副本，所以，c i n d l y 不相信b o b 对命题的证明。因此，为了更适合协议的 安全分析，0 3 年在信息安全与密码学年会上，s a e e d n i a 等人m 借助于零知 识证明( z e r o - k n o w l e d g ep r o o f ) 中的模拟器( s i m u l a t o r ) 给出了更直观的定 义3 ，并提出了第一个高效的强指定验证者签名方案( s k m 方案) 。该方案利用 了s c h n o r r 签名方案 17 】和z h e n g 签名加密方案【1 8 】使得不用加密就实现了“强 指定验证者”特性。但是s k m 方案只证明了在无消息攻击( n om e s s a g ea t t a c k ) 情况下是存在性不可伪造的( e x i s t e n t i a l l yu n f o r g e a b l e ) ，由于缺乏好的安全分 析的模型，不能证明在选择消息攻击( c h o s e nm e s s a g ea t t a c k ) 的情况下是不可 伪造的。 1 0 z g w m g _ 1 州证明该方案是可伪造的，由于只需简单修改( 而其结构不变) 就使该方案具有不可伪造 性，所以认为该方案还是安全的。 2 在文献- o 】中，证明了只要加密方案在自适应选择密文攻击下是不可区分的那么该方案是强指定验 证者箍名方案 3 假设p m 且) 是a t e o n b o b i , t 明命题口是4 真的。的协议如果b o b 能产生恒等分布的副本，且 与p ( a b ) 的副本不可区分，那么称b o b 为指定验证者 假设p ( a b ) 是一“向b o b s - 明命题0 是“真的。的协议如果任何用户能产生恒等分布的副奉且 与p ( a ，b ) 的副本除了b o b ，l “ 的所有用户都不可区分那1 , 称p ( a ，b ) 为强指定验证者证明即b o b 为强指 定验证者 生日祝福短信http:/www.zhufuyu.us 第一章引言 5 同年，在亚洲密码学年会上，s t e i n f e l d 等人2 1 1 提出了一个新的指定验 证者签名的概念一普遍指定验证者签名( u n i v e r s a ld e s i g n a t e dv e r i f i e rs i g n a t u r e ( u d v s ) 1 ，它是指定验证者签名的一种变型。也就是说，如果签名的拥有 者( 不必是签名者) 获得签名者的标准数字签名( 传统数字签名) ，他能把( 签 名者产生的) 标准数字签名转化为指定某个验证者的指定验证者签名，使得只 有被指定的验证者能相信该消息的签名是否是签名者的合法签名。而其他任何 用户不能相信该消息是被签名者签署，因为被指定的验证者同样可以用其自身 的私钥产生合法的普遍指定验证者签名( 指定其自己) 。因此，其他用户不能区 分签名( u d v s ) 是签名的拥有者生成的，还是被指定的验证者生成的。当签名的 拥有者与签名者是同一用户时，普遍指定验证者签名其实就是指定验证者签名。 同时，在文献f 2 1 l 中，四位作者提出了第一个基于b l s 短签名方案4 2 2 ，2 ：j 】的普 遍指定验证者签名方案。 0 4 年s u s i l o 等人f 2 4 1 提出了基于身份的强指定验证者签名( s z m 方案) ，其安 全模型与文献【1 6 相同，只是从基于证书的公钥系统扩展到基于身份的公钥系统 上。其实，该方案的结构与s k m 方案相同，是s k m 方案的变型。在0 4 年的p k c 年 会上，s t e i n f e l d 等人f 2 叫证明了如何用s e h n o r r r s a 方案构造普遍指定验证者签 名方案。z h a n g 等人16 1 把普遍指定验证者签名方案的概念推广到基于身份的普 遍指定验证者签名方案并且提出两个方案( s w p 方案) ，而普遍指定验证者签名 的概念在文献心? ，2 8 ，2 q ，：；f ) i 川1 中不断发展。0 4 年l a g u i l l a u m i e 弄f l v e r g n a u d 2 0 首 先给出了( 强) 指定验证者签名的形式化定义，为安全分析和证明提供了强 有力的模型。他们指出安全的指定验证者签名方案包含下列特性：不可伪造 性( u n f o r g e a b i l i t y ) 、不可传递性( n o n - t r a n s f e r a b i l i t y ) 5 ；而强指定验证者签名方 案在这些特性基础上还包括签名者身份的保密性( p r i v a c yo fs i g n e r si d e n t i t y ) ， 即知道消息和被指定的验证者及其签名，但不知道他们的私钥，无法判别两个 可能的签名者中谁是签名者。至此，指定验证者签名的安全模型建立了，为安 全分析提供了保障。 0 5 年，在a c n s 年会上，z h a n g 等人【：j 2 】提出第一个无随机预言机( w i t h o u t r a n d o mo r a c l e ) 普遍指定验证者签名方案，它是用b o n e h 和b o y e n 3 3 提出的无随 机预言机的短签名方案的变型构造的。在众多的密码学家不断提出各种各样的 4 本文用作者姓中的第一字母表示他们提出的方案如b o n e h ，【归n 和s h 础a m 提出的短签名方案 用b l s 表示。 5 在文献陋j 】中为“$ o t t r r a eh i d i n g 。，也就是后来的不可传递性。 6 关于指定验证者签名的研究 指定验证者签名方案与概念的同时，很不幸，0 5 年l i p m a a 等人f 3 4 1 根据指定验证 者签名的原始定义，发现了一种新的、非标准的攻击方法一签名权的授权攻 击。指定验证者签名的本意是指：a l i c e 向b o b 证明命题0 是“真的”，她通过证明 命题“口或她知道b o b 的私钥”是“真的”来实现。但是在各种指定验证者签名 方案的设计时，都变换成证明命题“日或她知道部分信息，( ，) ”是“真的”，其 o e f ( ，) 是关于a l i c e 的私钥( 公钥) 和b o b 的公钥( 私钥) 的单向函数( o n e - w a y f u n c t i o n ) ，即已知函数，的值是无法得到私钥。现代密码学中，在任何密码系统 中私钥都是受保护不可泄露的，而除此以外的任何构件，在各种各样的攻击下都 是脆弱的，都面l 临被攻击者获得的可能。所以指定验证者签名方案中函数，在设 计中是应该避免的。在文献【3 刮中，作者把这种部分信息泄露称为授权，并给出 了两种可能出现授权的具体的、实际的环境。同时，作者指出，虽然大部分指定 验证者签名方案都有严格的不可伪造性的证明，但是不可伪造性并不能包括可 授权，由此重新定义了指定验证者签名的安全要求：不可传递性、不可伪造性、 不可授权性。而l i p m a a 等人并未对强指定验证者签名的安全模型进行更深入的 研究。他们证明了s k m 方案f 1 6 1 、l v 方案! u 1 、s b w p 方案2 1 1 和s w p 方案2 j 1 是 可授权的，同时提出了安全的指定验证者签名方案( l w b 方案) 6 。随后，“等 人1 用此方法证明s z m 方案1 2 4 1 ，n s m 方案1 ，l v 2 方案陌1 ，和z f i 方案m 1 都 是可授权的。至此，仅有j s l 方案【1 0 】和l w b 方案 是安全的。 0 6 年h u a n g 等人p s ，3 1 j 1 提出基于双线性函数的短( 基于身份) 的强指定验 证者签名，然而用l i p m a a 等人的方法，很容易证明它们都是可授权的。几乎 同时，k u m a r 等人1 4 , l 提出了基于身份的强指定验证者签名，并