（应用数学专业论文）盲签名方案及其应用研究.pdf

盲签名方案及其应用研究 徐光宝 摘要：随着科技的发展和社会的进步，计算机已经广泛应用到社会的各个领域， 由此促进了网络通信技术的产生和发展，极大地方便了人们的生活和工作。然而， 科学是一把双刃剑，网络通信虽然促进和加速社会信息化的发展，使人们能及时 地了解和交流信息，但是由于技术原因和人为攻击等因素，网络通信的安全性受 到严重的挑战，信息在传输的过程中有可能被删除、篡改和重放，给人们的生活 和工作造成了许多不必要的麻烦。正是在这种情况下，数字签名作为一种具有消 息完整性认证、可鉴别性、抗抵赖性和加密功能的技术应运而生。 盲签名作为数字签名的一种特殊的类型，由于它具有对待签名消息的保护功 能，所以在电子现金和电子选举中有着广泛的应用前景。盲签名要待签消息对签 名者保密，这是它的显著特性，但如果要保证签名的盲性必然造成参数的繁多和 算法的复杂，进而影响到其实现时运行速度。如何在不影响其实现时速度的前提 下保证签名的盲性，是一个有待解决的难题，也是现在和今后密码学界的一个重 要的研究课题。 作者在盲签名及其应用方面作了一些有益的尝试和探索，其主要研究成果如 下： 1 对已有的盲签名方案进行分析、总结，并构造了一个新的盲签名方案。新 方案不仅具备盲签名的特性，而且算法简单易于实现。 2 介绍了部分盲签名方案的概念，阐明其相对一般盲签名方案的优越性。 3 介绍了群盲签名的概念，并给出了两个新的群盲签名方案。 4 针对盲签名的应用，介绍了电子商务的相关知识，并将盲签名方案具体应 用于电子现金中，提出了新的电子现金方案。 5 介绍了电子选举的初步知识和基于盲签名的电子选举协议，有力说明了盲 签名的作用。 关键词：盲签名部分盲签名群盲签名电子现金电子选举 r e s e a r c ho nb l i n ds i g n a t u r es c h e m e sa n dt h e i ra p p l i c a t i o n s x ug u a n g b a o a b s t r a c t ：w i t ht h ed e v e l o p m e n to fs c i e n c ea n dt e c h n o l o g y , c o m p u t e r sa l ew i d e l y u s e di ne v e r yf i e l do fo u rs o c i e t y t h i sp r o m o t e st h ei n t e m e tt e d m o l o g y , w h i c hi s c o n v e n i e n tt o p e o p l e s l i f ea n dw o r k h o w e v e r , e v e r y t h i n gh a st w os i d e s c o m m u n i c a t i o nb yi n t e r n e ta c c e s s e st h ed e v e l o p m e n to ft h es o c i e t yt oi n f o r m a t i o n a l a n dm a k e sp e o p l ee x c h a n g ei n f o r m a t i o ni nt i m e , b u ti ti sn o ts e c u r eb e c a u s eo f t e c h n i q u e 盘咖璐a n da t t a c k s t h a ti st os a y , t h ei n f o r m a t i o nc a nb ed e l e t e da n d t a m p e r e dd u r i n gi t sc o n v e y i n g , w h i c hc a u s e sm u c ht r o u b l e s ot h ed i g i t a ls i g n a t u r ei s p r o d u c e ds i n c ei th a st h ep r o p e r t yo fa u t h e n t i c a t i o n , i n t e g r i t ya n dn o n r e p u d i a t i o n a sas p e c i a ld i g i t a ls i g n a t u r e ，b l i n ds i g n a t u r eh a st h ep r o p e r t yo fp r o t e c t i n gt h e i n f o r m a t i o ns i g n e db yas i g n e r t h u si th a saw i d ep r o s p e c ti nt h ee l e c t r o n i cc a s ha n d e l e c t r o n i cv o t i n g b l i n ds i g n a t u r em a k e st h ei n f o r m a t i o nu n k n o w nt ot h es i g n e r , w h i c h c a u s e sm o r ep a r a m c t c s 。s oi th a s 越e f f e c to nt h es p e e do fs i n gam e s s a g e h o wt o d e s i g nag o o db l i n ds i g n a t u r ei sav e r yi m p o r t a n tp r o b l e mi nf u t u r er e s e a r c h t h ew r i t e rh a sm a d es o m ep r o g r e s si nb l i n ds i g n a t u r e t h ef o l l o w i n ga l et h em a i n r e s e a r c hr o s l i l t s ： 1 。t h es e c u r i t yo fs e v e r a lf a m o u sb l i n ds i g n a t u r e si sa n a l y z e d an e wb l i n d s i g n a t u r ei sp r o p o s e d i th a st h ec h a l a c t e f i s f i co fb l i n ds i g n a t u r ea n da l le a s ya l g o r i t h m t h a tm a k e si te a s yt or e a l i z e 2 t h ec o n c e p ta n dt h em e r i to ft h ep a r t i a lb l i n ds i g n a t u r ea r ei n t r o d u c e d 3 t h en o t i o no ft h eg r o u pb h n ds i g n a t u r ei sg i v e n t w on e wg r o u pb l i n d s i g n a t u r e sa r ep r o p o s e d 4 t h ep r i m a r yk n o w l e d g eo ft h ee l e c t r o n i cc o m n l e t c 宅i si n t r o d u c e d t h en e w s c h e m e sa r ea p p l i e dt ot h ee l e c t r o n i cc a s hl a t e r 5 s o m ek n o w l e d g eo fe l e c t r o n i cv o t i n gi sg i v e n 丘o mw h i c hw ec a nk n o wt h e i m p o r t a n c eo ft h eb l i n ds i g n a t u r e k e yw o r d s ：b l i n ds i g n a t u r ep a r t i a lb l i n ds i g n a t u r eg r o u pb l i n ds i g n a t u r e e l e c t r o n i cc a s he l e c t r o n i cv o t i n g l i 学位论文独创性声明 本人声明所呈交的学位论文是我在导师的指导下进行的研究工作及取得的研 究成果尽我所知。除文中已经注明引用的内容井，论文中不包含其他个人已经 发表或撰写过的研究成果也不包含为获得陕西师范大学或其它教育机构的学位 或证书而使用过的材料对本文的研究做出重要贡献的个人和集体，均已在文中 作了明确说明并表示谢意 作者签名，；i 生：墨b 期；兰塑l ：! 生 学位论文使用授权声明 本人同意研究生在校攻读学位期阊论文工作的知识产权单位属陕西师范大 学。本人保证毕业离校后，发表本论文或使用本论文成果时署名单位仍为陕西师 范大学。学校有权保留学位论文并向国家主管部门或其它指定机构送交论文的电 子版和纸质版；有权将学位论文用于非赢利目的的少量复制并允许论文进入学校 图书馆、院系资科室被查阅：有权将学位论文的内容编入有关数据库进行检索； 有权将学位论文的标题和摘要汇编出版。 作者签名：j i 缸：圣： 日期：塑三、生堡 第一章绪论 随着互联网的飞速发展，人们越来越多地利用网络来交流、传递所需要的信 息。由于信息在传递过程中受到安全性挑战，具有消息完整性认证、鉴别功能和 加密功能的数字签名应运而生。数字签名具有和传统手写签名同样的法律效力， 而它的实现无需面对面，可以不受地点的限制。数字签名使人们可以实现远距离 身份认证、密钥分配、电子交易等，因而倍受人们青睐，有着广泛的应用前景 本文主要介绍了盲签名的概念及现有盲签名方案，使读者能对其有深入地了 解。后边讲到的盲签名的应用，主要介绍盲签名在电子现金和电子选举中的应用， 使读者对盲签名的作用有个大致的了解。 1 1 数字签名 什么是数字签名? 它有哪些分类? 在这一节，我们主要介绍数字签名产生的 背景、发展状况、在现实社会中的意义和根据作用与目的不同产生的分类等 1 1 1 信息安全的重要性 计算机技术的高度发展为人类提供了高度的自动化和现代化，网络的迅猛发 展，为人们提供了便捷、快速的信息交流方式，使我们人类社会迅速进入了信息 化时代。在一些发达的国家中，计算机已经广泛应用于政治、军事、经济、教育、 商业和家庭生活等各个社会领域，互联网的发展和壮大使人们足不出户可以洞晓 天下人和事，极大的方便了人们的学习、工作和生活。 然而，事物是有两个方面的，科学也是一把双刃剑，它给人们带来方便的同 时，也带来了许多麻烦。计算机技术和网络技术虽然使人们可以在顷刻间交流信 息，但因为信息需要在网上传输，这就很可能造成信息的泄漏、删除、修改和伪 造等各种人为因素的攻击。因此，如何保证信息系统的安全性是当前和今后相当 长一个时期的重要研究课题。 信息系统安全的核心内容是如何保证信息在系统中的保密性、认证性和完整 性。传统的密码体制，主要的功能是信息的保密，面现代的密码体制还须保证信 息的认证性和完整性。信息的保密性和认证性是不同的，保密性要求攻击者获取 信息的密文后不能解读其内容，而认证性是任何不知密钥的人构造一个密文，由 接收者用自己的密钥来解读这个消息，从而达到认证的目的。 数字签名作为一种新生事物，它的产生、发展和逐步壮大，有其固有的合理 性。擞字签名具备消息认证、身份认证、信息完整性认证等多种功能。它是实现 信息安全的重要工具之一。 1 1 2 数字签名的概念 政治、军事、外交、商业等领域的文件如法律、命令、条约、合同等，传统 上使用手写的签名，使之能产生法律效力。手写签名具有以下功能： ( 1 ) 鉴别功能：可以通过签名鉴别文件的真伪； ( 2 ) 不可伪造性：任何人不能伪造签名者本人的签名； ( 3 ) 不可抵赖性：签名者本人不能对自己傲的签名进行抵赖。 手写签名之所以具有上述功能是因为每个人的书写特征是不同的，所以我们 可以鉴别每个人的笔迹。 随着社会的信息化时代到来，人们需要进行远距离的交互、远距离的信息传 达或两上交易。这样，传统手写签名就受到地域和时间的限制。数字签名顺应时 代的潮流，实现了人们远距离交互的要求。 d i f f i e 和h e l l m a n “1 利用公钥密码体制( 可参阅本文2 3 ) 提出了数字签名的概 念。 一般来说，数字签名有下面要素组成： 安全参数、消息空间、密钥空间、签名空间、密钥生成算法、签名算法和验 证算法等构成 定义1 1 1 数字签名是由一个五元组( 材，置墨y ) 构成的，它满足以下条 件： ( 1 ) m 是可能签名消息的有限集； ( 2 ) 是安全参数的有限集； ( 3 ) 世是一个可能密钥的有限集； ( 4 ) s 是一个签名算法的有限集。任何一消息m ，每个k e k ，由一个签名算法 s i g , ( m ) 得到签名s 概( 埘) 。 ( 5 ) v 是个验证算法的有限集，v ( m ，k , y ，s i g ( ，帕) + f a l s e ，t r u e 。 数字签名可以用图1 1 直观地给与说明。 一个数字签名不安全是指它能被以下的方法攻击： ( 1 ) 签名者的签名密钥被泄漏或窃取： ( 2 ) 攻击者可以找到和签名者使用的签名算法作用相同的算法； ( 3 ) 攻击者对已选定的消息可以求出满足验证方程的签名； ( 4 ) 攻击者至少可以对某一特殊的消息求出其有效签名。 图1 1 虽然数字签名和手写签名有同样的作用，但它们二者之问也有所不同： ( 1 ) 手写签名是可模拟的。伪造者可以模仿签名者本人的签名，而数字签名不 具有可模仿性。 ( 2 ) 手写签名需要面对面的实现。即签名者和接收者必须在同一时间、同一地 点才能完成；数字签名依靠网络的传输，它的实现无需面对面，不受肘闻和地域 的限制。 1 1 3 数字签名的分类 根据数字签名的性质和功能，可以将其分为普通数字签名、群签名、代理签 名、盲签名等等。 普通签名就是由签名者用自己的私钥对消息进行直接签名。任何人都可以用 其公钥来验证签名的有效性。这是最简单的一种数字签名，同时也是应用最广泛 的种数字签名。 群签名是由一组成员的任何一个人都可以代替群进行签名，并使得签名具有 如下性质： ( 1 ) 只有群中的成员才能代表群进行签名； ( 2 ) 除了群管理员外，任何人都无法判断一个群签名是由哪个群成员签署的， 也无法判断出两个不同的群签名是否是由同一个成员签署的： ( 3 ) 当发生争议时，群管理员可以打歼群签名以便揭示签名者的身份。 代理签名是原始签名者将自己的签名权委托给别人，由受委托者代替原始签 名者进行签名。代理人的签名和原始签名者本人的签名具有同等法律效力，但是代 理签名和原始签名者本人签名很容易识别。 盲签名是签名者本人在不知签名消息具体内容的情况下对消息进行的签名。 它是本文所要论述的内容。 数字签名作为种密码技术。它的发展历程并不长，为什么能引起世人广泛 关注”1 7 这是因为它具有以下功能和性质： ( 1 ) 签名的可信性。签名使文件的接收者相信签名者是慎重地在文件上签字。 ( 2 ) 签名的不可伪造性。只有签名者本人才能生成自己签名。 ( 3 ) 签名的不可多用性。签名含有文件的信息，不能作为其他文件的签名。 ( 4 ) 签名的不可抵赖性。任何签名者在产生签名后，无法抵赖自己对文件的签 名。 ( 5 ) 签名文件的不可改变性。签名中含有文件信息，文件一旦改变，签名不再 成立。 由于数字签名的上述性质，它具有信息的完整性认证、鉴别和加密等多种功 能，因此在军事、商业和政治领域有着广泛的用途。随着应用领域的拓展，数字 签名的分类会越来越细，实现的功能会越来越多。 1 2 盲签名的研究背景、发展状况及现实意义 任何事物的产生都是由一定的时代背景的，盲签名作为一类特殊的签名，它 的产生和发展是在科技进步和网络发展的前提下，数字签名要实现功能多样化的 要求下，逐步发展起来的。 随着数字签名的应用和发展，我们遇到下面情形：那就是消息的拥有者想让 签名者对消息进行签名而又不想让签名者知道消息的具体内容，同时签名者也不 想了解所签消息的具体内容，他只是想让人们知道他曾经签署过这个消息。 自从1 9 8 2 年d c h a u m ”1 首先提出盲签名的概念以来，盲签名便因为其潜在的 应用价值而得到密码学界的广泛关注。于是，各种体制的盲签名如r s a 盲签名、 e 1 g a m a l 盲签名、s c h n o r r 盲签名等便如雨后春竹脱颖而出。 正如任何事物的发展样，盲签名在其发展过程中，经历了从无到有，从少 到多的不同发展阶段。我们可以将其分成两个不同的历史阶段。第一个阶段是从 1 9 8 2 年一1 9 9 6 年，这一阶段的工作主要集中在对盲签名方案研究上，许多性能良 好的盲签名就是在这一时期提出的：第二个阶段是从1 9 9 6 年至今，这一阶段虽然 对盲签名方案本身的研究兴趣有增无减，但更多的研究是集中在亩签名在电子商 务和电子政务中的应用与实现这更深层面上。 盲签名的一个最简单、最直接的应用就是用它来签署遗嘱。立遗嘱者想让律 师在自己遗嘱上签字，使之具有法律效力，但他又不想让律师知道遗嘱的具体内 容，于是，他可以采用盲签名的形式让律师对遗嘱签字。 ，在商业领域，远古时代人们之间的商品交换是以物易物的。如此形势，严重 阻碍商品交易的发展。到了近代，纸币大规模的应用于货币流通领域，极大的方 便了人们的生活。但纸币也有自己先天的不足，当进行大宗货物交易时，携带大 量纸币同样给人们带来不便。当前，由于网络技术的进步。用盲签名技术生成电 子现金用于商品交易成为可能。消费者可以从银行得到有效的电予现金，银行不 能对消费者的消费状况进行跟踪，有效保护了消费者的消费隐私：同时商家可以 验证电子现金的有效性，但不能得到消费者的身份信息，也有效保护了消费者隐 私。商家拿收据的在银行获取现金或通过转账获取交易货物的成本和利润。当然， 消费者也不能重复使用电子现金。 在电子选举中，有两个需要遵循的原则： ( 1 ) 投票人的利益不受侵犯，即从选票信息中不能得到投票人的信息，实现投 票人的无记名投票。 ( 2 ) 保证选举结果的公正，即不能出现伪造选票和有效选票遗漏等作弊现象。 盲签名技术在选举协议中的应用，满足了以上两个原则。 总之。盲签名由于它的盲性在电子商务和电子政务中有着广泛的应用前景。随 着科技的进步，必将有更多的领域会应用盲签名技术，同时这也会促进盲签名技 术的进步。 1 3 论文的内容安排和主要研究成果 本文在总结近几年盲签名及其应用领域取得成果的同时，着重介绍了作者在 这方面所作探索和尝试取得的有益成果。希望能有助于推动盲签名的发展，使之更 好地服务于人们的现实需要。 1 3 1 论文的内容安排 第二章主要介绍本文要用到的一些数论知识和相关的密码学知识。数字签名 是基于数学上某种难题设计的，和数学有着很深的渊源，许多数学的知识尤其是 数论中的许多问题都是设计数字签名的基础。盲签名是密码学的重要研究课题。 许多密码学知识是设计盲签名的基础。 第三章首先介绍了一下经典的盲签名方案，对其优劣进行分析比较，并结合 自己的研究状况，提出了一个新的盲签名方案：其次，介绍了部分盲签名的概念， 举例说明它的好处；再次，介绍了群盲签名的概念，提出了两个新的群盲签名方 案。 第四章首先介绍电子现金的一些初步知识，接着介绍了两个现有的电子现金 方案，并对其性能进行了分析，着重研究盲签名应用于电子现金上在消费领域中 的实现闽题。 第五章首先介绍电子选举的一些初步知识，给出了基于盲签名的普遍适用的 电子选举协议。 结束语对文章进行总结归纳。 1 3 2 主要研究成果 作者取得了以下研究成果： 1 对已有的盲签名方案迸行分析、总结，并构造了一个新的盲签名方案。新 方案不仅具备盲签名的特性，而且算法简单易于实现。 2 介绍了部分盲签名方案的概念，阐明其相对一般盲签名方案的优越性。 3 介绍了群盲签名的概念，并给出了两个新的群盲签名方案。 4 针对盲签名的应用，介绍了电子商务的相关知识，并将盲签名方案具体应 用于电子现金中，提出了新的电子现金方案。 5 介绍了电子选举的初步知识和基于盲签名的电子选举协议，有力说明了盲 签名的作用。 第二章数学基础和相关密码学知识 盲签名是一种特殊的数字签名，它和数字签名一样有较深的数学和密码学背 景。数论中的大数分解问题、离散对数求解以及密码学中的单项函数和知识签名 问题，都是我们进行盲签名研究的基础。 2 1 数论基础 我们知道，数论中存在许多难题，这些问题在现在和今后一个相当长的时期 不可能得到很好的解决。密码学尤其是许多数字签名协议的设计也正是基于这些 数学难题的。关于盲签名的数论基础，我们主要介绍一下大数分解问题和离散对 数闽题。 2 1 1 大数分解问题 在数论中，存在燕数唯一分解定理，任何一个大于1 的整数，如果不论因子 的次序，能唯一的表示成素数的乘积，即 定理“1 ( 整数唯一分解定理) 任一大于1 的整数能表示成素数的乘积，即对于 任一整数口 1 ，有 其中p l , p ：，p 。是素数。 其中q l , 9 2 ，q 。是索数 a 。p i p 2 - - p 。， 并且若 a 。吼q 2 q 。， 则 p l p 2 s - p 。 q l q 2 q ， m 2 r l ，q = p ，( f = 1 , 2 ，h ) 这是对数论研究所得出的重要结论，也是对数论深入研究的重要基础。 整数唯一分解定理虽然在理论上阐明整数的可分解性，然而在现实中，我们 如果仅知道两个大素数的乘积，来求出这两个大素数也即对这个积进行分解却是 极端困难的。人们很早就从事对数论这门古老学科的研究，但大数分解问题始终 未得到很好地解决。在可以预见的未来，大数分解问题不会、也不可能得到妥善 地解决。 密码学协议尤其是数字签名的好多算法都是基于数学难题而设计的。大数分 解难这一数学难题，为某些好的密码协议的设计提供了良好的基础和安全保证。 例如现在广泛应用的r s a 体制签名方案被认为是安全性最好的方案之一。它就是 基于此问题提出的。 2 1 左离散对数问题 在本节主要介绍离散对数的一些有关知识。 设g = ( g ) 代表由g 生成的阶为q 的循环群，x 为z ：的元素，y g 。 定义“1 ( 离散对数) 称满足g 。= y 的最小整数工，为y g 基于g 的离散对数。 在当今数学中，离散对数求解是一个困难问题，也就是说：如果知道y 和g ，而 它们的值又都比较大，那么求解z 是很困难的，可以说在计算上是不可行的。 离散对数求解难是直存在的问题，它为密码协议的设计提供了坚实的基础。 许多性能良好的密码算法都基于这一难题设计的，例如著名的e 1 g a m a l 数字签名。 2 2 单向函数 定义2 2 1 ( 单向函数) 如果一个函数厂满足下面两个条件，则称之为单向函 数。 ( 1 ) 对于所有属于定义域的x ，可以很容易求解f ( x ) ； ( 2 ) 对于所有属于，值域的y ，求解，使之满足f ( x ) = y 在计算上是不可行的。 也就是说，一个单向函数是一个满足下列条件的函数：它将一个定义域映射 到一个值域，使得计算函数值很容易，但由函数值求解原像在计算上是不可行的。 关于单向函数，b r u c es c h n e i e r 6 给出了一个生动地比喻：打碎盘子是件很 容易的事情，然而。要把所有打碎的盘子的碎片在拼成一个完整的盘子，却是非 常困难的。 定义2 2 2 ( 单向散列函数) 单向散列函数在密码学中简称单向函数或h a s h 函 数，它是密码学中的一类特殊的函数。单向散列函数h ( x ) 作用于一任意长度的消 息m ，返回一固定长度的散列值h ：h = h ( mo 它具有下面的性质： ( 1 ) 给定m ，很容易计算h ； r 2 ) 给定h ，根据h = h ( m ) 求解m 在计算上是不可行的； ( 3 ) 给定m ，要找到另外一消息m ，使得h ( m ) = h ( m ) 是不可行的。 性质( 2 ) 和( 3 ) 分别被称为单向性和无冲突性。单向散列函数虽然不是加密算法， 却在密码学中有着广泛的应用，与各种加密算法有着密切的联系。一般来说，散 列函数是公丌的，对处理的过程不用保密。单向散列函数的安全性在于它的单向 性。正因为这样，单项散列函数广泛应用于密码学的各个领域：密码协议、密码 算法、数字签名等。 现行的单项散列函数主要有：s n e f r u 算法、n h a s h 算法、m d 5 算法 7 】等。 2 3 公钥密码体制 虽然s h a n n o n 在1 9 4 0 年证明了理论上不可攻破的传统密码体制的存在性，但 是，密钥管理始终是传统密码体制中的难题。假设n 个用户想要两两进行秘密通信， 那么他们必须通过安全的信道交换( h 加一1 ) 2 ) 个密钥。真正安全的信道是非常难 实现的，随着大型计算机网络的使用，密钥管理问题显得越来越重要。公钥密码 体制正是在这些问题的促使下由d i f f i e 和h e l l m a n 于1 9 7 6 年提出的。公钥密码体 制将加密和解密功能分开，有两个不同的密钥：一个密钥被称为私铝，被秘密保 存；另一个被称作公钥，无需保密。公钥密码体制有两种模型：一种用于加密( 如 图2 1 ) ；另种用于认证( 如图2 2 ) 。 定义2 3 1 ( 公钥密码体制) 形式上，一个公钥密码体制有以下要素构成：随 机参数空间r 、秘密密钥空间s k 、公开密钥空间尸足、明文空间p 、密文空间c 、 密钥生成算法k e y g e n ：且- - s k p k 、加密算法e n t r y ：p k p 哼c 和解密算法 d e c r y ：s k c _ p 。 对于任意的r 足工$ 1 1 ，y p k ，所e p , c 仨c ，如果如岁) = k e y g e n ( r ) ， c = e n c r y ( y ，m ) ，那么以下两个性质成立： ( 1 ) 由x 很容易计算出y ，反之，由y 很难计算x ： ( 2 ) m = d e c r y ( x ，c ) 假设一个用户b o b 想要让其他人向他发送秘密消息。那么b o b 首先选择一个 随机参数，er ，计算( x , y ) = k e y g e n ( r ) ，然后将y 公开将( ，工) 保密。当用户 a l i c e 想要向b o b 秘密地发送消息m p 时( 图2 1 ) ，她首先查找到b o b 的公开密 钥y ，然后计算出密文c = d e c r y ( y ，脚) ，并将c 发送给b o b 。b o b 在收到后，恢复 消息：m = d e c r y ( x 。c ) 。任何攻击者只能截获密文，却无法恢复明文。 利用公钥密码体制，用户的公钥可以公开，无需在不同的用户之间传输密钥， 这是传统密码体制无可比拟的优越性。因此，公钥密码体制可以有效避免了密钥 分配和密钥管理的难题。目# f 所使用的公钥体制的安全性主要基于数学中的困难 问题。 图2 ，】 图2 2 基本的有两大类：一类是基于大数因予分解问题，比如r s a 体制、r a b i n 体制等 另一类是基于离散对数问题，如e 1 g a m a l 体制。 2 4 知识签名 零知识证明* 嘲是通信双方在交互的过程中，一方在不向对方泄漏信息具体内 容的情况证明自己知道这些知识。交互的零知识证明可以通过单向散列函数转化 为非交互的证明或签名，为了区别交互的零知识证明，许多密码学家称这样的签 名为知识签名。 知识签名在许多密码方案中都有应用，因为单向散列函数的应用，减少了算 法中参数个数，并且使得算法安全性有所提高。 定义2 4 1 ( 知识签名) 3 设p ，g 为两个大素数并且gj p - l ，g 为z ：上阶为q 的 生成元，令x z ：代表签名者的私钥，y = g x m o d p 代表他的公钥，则称满足 f = h ( g f | y i f g y | i 舶) 的数对( c ，s ) 是消息r t l z ：关于y 基于g 的离散对数的知识签名。 注：“ff ”表示两个字符的级联，以下同。 如果知道满足x = l o g 。y 的秘密密钥x ，则可以通过如下方法计算对消息m 的 签名： ( 1 ) 选择随机数r z ；，并计算f = 9 7 m o d p ； ( 2 ) 计算c = h ( g i l y f | j m ) ： ( 3 ) 计算j = r c x m o d q ； 最后，可以将( s ，c ) 作为对消息小的签名。 验证者可以验证如下等式： c = b ( g | | y | | g y l l m ) 来确定签名是否有效。 第三章盲签名 盲签名是由d c h a u m 3 于1 9 8 2 年提出的。盲签名因为具有盲性这一特点， 可以有效保护所签署消息的具体内容，所以在电子商务和电子选举等许多领域有 着广泛的应用。 本章首先讨论了盲签名发展状况，而后分析了现有盲签名方案的优缺点，并 提出了新的盲签名方案。其次，介绍了部分盲签名和群盲签名。最后，作者结合 自己三年来的研究成果，提出了新的群盲签名方案。 3 1 盲签名的概念及性质 本节介绍盲签名的概念和性质，它是进行深入研究的基础。 3 1 1 盲签名的概念 盲签名允许消息拥有者先将消息盲化，而后让签名者对盲化的消息进行签名， 最后消息拥有者对签名除去盲因子得到签名者关于原消息的签名。 定义3 1 1 亩签名( 图3 1 ) 就是接收者在不让签名者获取所签署消息具体内 容的情况下所采取的一种特殊的数字签名技术，它除了满足般数字签名条件外， 还必须满足下面的两条性质： ( 1 ) 签名者对其所签署的信息是不可见的，即签名者不知道他所签署消息的具体 内容。 ( 2 ) 签名消息不可跟踪，即当签名信息被公布后，签名者无法知道这是他哪次签 署的。 图3 1 关于盲签名，d c h a u m 曾经绘出一个非常直观的说明：所谓盲签名，就是先 将隐蔽的文件放进信封里，而除去盲因子的过程就是打开这个信封，当文件在一 个信封中时，任何人都不能读它。对文件签名就是通过在信封单放一张复写纸， 签名者在信封上签名时，他的签名便透过复写纸签到文件上。 3 1 2 盲签名的性质和实现效率 一般来说，一个好的盲签名应该具有以下性质： 性质l ( 不可伪造性) 除了签名者本人以外，任何人都不能以他的名义生成有效 的盲签名。这是一条最基本的性质。 性质2 ( 不可抵赖性) 签名者旦签署某个消息，他无法否认自己对消息的签 名。 性质3 ( 盲性) 签名者虽然对某个消息进行了签名，但他不可能得到消息的具体 内容。 性质4 ( 不可跟踪性) 一旦某个消息的签名公开后，签名者不能确定自己何时 签署的这条消息。 满足上面几条性质的盲签名，被认为是安全的。这四条性质既是我们设计盲 签名所应遵循的标准，又是我们判断盲签名性能优劣的依据。 另外，方案的可操作性和实现效率也是我们设计盲签名时所必须考虑的重要因 素。一个盲签名的可操作性和实现速度取决予以下几个方面： f 1 ) 密钥的长度； ( 2 ) 盲签名的长度； ( 3 ) 盲签名的算法和验证算法。 3 2 盲签名体制 现有的盲签名方案大都是在原有的普通数字签名基础上构造的。在这一节， 我们着重介绍一些著名的盲签名体制，并对每个方案的优劣性进行分析。 注：本章中以后凡未特别说明，用m 代表待签名的消息；b o b 代表签名者， a l i c e 代表接收者。 3 2 1r s a 畜签名及其性能分析 1 9 8 2 年d c h a u m ”首先提出盲签名的概念，并设计了基于r s a 签名体制的盲 签名方案。他设计的方案，是目前性能最好的盲签名方案，电子商务中使用的许 多数字货币系统的设计都采用此强盲签名技术。 r s a 盲签名有以下几个组成部分： 1 体制参数 ( 1 ) b o b 随机选取两个大素数p ，q ，计算：疗= p q ( 2 ) b o b 随机选取加密密钥e ，满足： ( e ( p 1 ) ( q 1 ) ) = 1 ( 3 ) b o b 用欧几里德扩展算法计算解密密钥d ，使之满足： e d = l m o d ( p 一1 ) ( 口一1 ) 】 则 d = e m o d ( p 一1 x q 1 ) 】 e 和”是b o b 公开密钥，d 是b o b 私钥。两个素数p ，q 由b o b 秘密销毁。 2 签名阶段 ( 1 ) a l i c e 选择待签名的消息州z ：，随机数，z 。，计算 卅= m r e r o o d n 再把m 发送给b o b 。 ( 2 ) b o b 计算 一= ( 删) 4 m o d n 最后把s 发送给a l i c e 。 3 除盲阶段 a l i c e 可以计算 j 。j ，1 m o d n s 就是签名。 4 验证阶段 烈i c c 验证如下等式 坍= ( j ) 。m o c a n 是否成立，由此可确定签名是否有效。 r s a 签名体制的安全性依赖分解大数的难度，虽然在数学上从来没有证明需 要分解，l 才能利用签名j 和公镅e 推出消息1 1 , 1 ，但是直到现在也不能否认它的安全 性。分解疗是最常用的攻击方法，攻击者只要能分解r ，求出签名者的私钥是轻丽 易举的事。所以，拜的取值要尽可能大些。 另外，为了防止攻击者的穷举攻击，p 和g 的值要尽可能接近，可猷有效防止 攻击者迭代逐一测试攻击! 还有一些对r s a 签名的攻击不是对算法的攻击，而是 基于协议本身的漏洞。 3 2 2e i g a m a l 盲签名及其性能分析 l e l g a m a l 型数字签名是由e i g a m a l “”于1 9 8 5 年提出的，其安全性基于求有限 域l 离散对数的困难性。e i g a m a l 盲签名是对e i g a m a l 签名狮议稍作修改得到的， 但这丝毫不影响它的安全性。 e i g a m a l 盲签名有以下几个组成部分： 1 体制参数 ( 1 ) b o b 选择大素数p 和随机数g z ：； ( 2 ) b o b 选择私钥x z ：然后计算公钥：y = m o d p ( 3 ) b o b 公开y , g ，p 。 2 签名阶段 ( 1 ) a l i c e 选择随机数h z ： 计算 0 = g m o d p 肌= m h m o d p l 将( 口，删) 发送给b o b 。 ( 2 ) b o b 选择随机数k ez ：。计算 ，= 矿m o d p j = 耵+ 所k m o d p 一1 将( ，s ) 作为对消息m 的签名发送给a l i c e 。 3 。验证阶段 a l i c e 验证如下等式 g 。= r m y 7 m o d p 是否成立，由此确定签名的有效性。 e 1 g a m a l 盲签名是基于e 1 g a m a l 数字签名提出的。它的安全性基于求解离散对 数的困难性。求解离散对数是当今数学难题，此处不再赘述。 该方案可以保证签名者虽经签署消息，但却不可能知道签署消息的内容。然 而，最后的签名数据( r ，j ) 却不是保密的。签名者只要保存签名数据，一旦签名公 开，签名者就可以找出是自己的哪次签名。所以，该签名不满足盲签名的不可跟 踪性这一特点。但许多情况下，我们只需在签名时保证消息的盲性，而不需要不 可跟踪性这一特点( 例如遗嘱的签署) ，所以，从某种意义上来看，该签名也不失 为一个好的盲签名。 3 2 3o k a m o t o s e h n o r r 盲签名 4 o k a m o t o s c h n o r r 盲签名 1 3 一1 4 是由o k a m o t o 等于上世纪9 0 年代前期提出 的。该方案是一个性能良好的方案，它满足盲签名的四条性质。它有下面几个部 分组成： 1 体制参数 ( 1 ) p ，q 是两个大素数，并r qj p - 1 ； ( 2 ) g ，h 为z ；上的阶为q 的元； ( 3 ) ( 为输出在z 。上的公开的单项函数： ( 4 ) b o b 的公开密钥y = h m o d p ，相应的私钥为( r ，s ) ( z ：) 2 。 2 签名阶段 ( 1 ) b o b 选择( f ，”) ( z ：) 2 ，计算 口= g 。h 。m o d p 再将口发送给a l i c e 。 ( 2 ) a l i c e 选择卢，占e z ：，计算 口= a g a h 7 y 5 m o d p 叩= h ( m0 口) e = r l - d ( m o d q ) 将e 发送给b o b 。 ( 3 ) b o b 计算 矗= t - e r m o d q s = ”一e s m o d q 并将( r ，s ) 送给a l i c e 。 ( 4 ) a l i c e 收到( r ，s ) 后，验证等式a = g r h 3 y 。m o d p 是否成。若成立，计算 p = r + f l m o d q 仃= s + y m o d q 则( 玑p , c r ) 即为b o b 对消息掰的盲签名。 3 验证阶段 验证下面等式是否成立： r = h ( m g p h 4 y 4 ) 等式成立，签名有效；否则，签名无效。 3 2 4d s a 言签名 d s a 盲签名“”是由j a nl c a m e n i s c h 等于1 9 9 5 年提出的。它是在d s a 签名的 基础上构造的，它的安全性基于求解离散对数的困难性，有以下几个部分组成： 1 体制参数 ( 1 ) p ，q 是两个大素数，并且q j p 一1 ； ( 2 ) g z ：且它的阶为q ； ( 3 ) b o b 的私钥为x z ；，公钥为y = m o d p 。 2 签名阶段 ( 1 ) b o b 选择随机数k z ：，计算 r = g m o d p 验证g c d ( r , q ) = l 是否成立。如果不成立，重新选择k ；成立，将刷发送给 a l i c e 。 ( 2 ) a l i c e 验证g c d ( r ，q ) = 1 是否成立。 ( 3 ) a l i c e 选择随机数口，卢z ：，计算 r = ( 尉广矿m o d p ( 4 ) a l i c e 验证g c d ( g ，q ) = 1 是否成立如果不成立，返回上一步；如果成立，计 算 m = a m r r 一1 m o d q 并把发送给b o b 。 ( 5 ) b o b 计算 j = k t ，”。+ r xm o d q 再将一发送给a l i c e 。 ( 6 ) a l i c e 计算 s = ，r r 一1 + f l m m o d q 。，= r m o d q 则( s ，) 即为签名。 3 验证阶段 验证方程式为： ，= ( y 一) ”m o d p m o d q 等式成立则签名有效。 该签名有不足之处，一是参数选取过多，计算量大；二是验证中要求待签名消 息的逆元，影响实现时的速度。 3 2 5n y b e r g - r u e p p e l 盲签名 n y b e r g r u e p p e l 盲签名“”是由j a nl _ c a m e n i s c h 等于1 9 9 5 年提出的。它的安全 性也是基于求解离散对数的困难性。它有以下几个组成部分： 1 体制参数 6 ( 1 ) p ，g 是两个大素数，并且口jp l ； ( 2 ) g z ：且它的阶为q ； ( 3 ) b o b 的私钥为x e z ：，相应的公钥为y = 9 1 m o d p 。 2 签名阶段 ( 1 ) b o b 选择随机数尼z ：，计算 ，= m o d p 将，发送给a l i c e 。 ( 2 ) a l i c e 选择随机数口z ；和z ；，计算 r = m g 。，护m o d p ，m = r p 一1 m o d q a l i c e 检验m z ：是否成立。不成立，重新选择；成立则发送给b o b 。 ( 3 ) b o b 计算 s t ：坍x + m o d q 再将一发送给a l i c e 。 ( 4 ) a l i c e 计算 j = j 口+ a ( m o d q ) 则0 ，r ) 即为b o b 对消息的签名。 3 验证阶段 验证方程为： g 一，r = m m o d p 等式成立则签名有效。 该签名方案具有消息恢复功能，该方案完全具备盲签名的四条性质，其计算 量不算大，待签名消息和最后签名对签名者来说是保密的，是一个性能良好的盲 签名方案。 3 3 新的言签名方案 在这一节，作者结合自己的研究，着重介绍一个新的盲签名方案。它的安全 性基于求解离散对数的困难性。它和上节n y b e r g - r u e p p e l 盲签名具有异曲同工之 妙，但计算量相对较小，更易于实现。它有以下几个组成部分： 1 体制参数 ( 1 ) b o b 选择随机大素数p ，g ，满足鼋i p l ； ( 2 ) b o b 选择随机数g z ：，满足g 的阶为g ； ( 3 ) b o b 随机选择私钥x z ：，然后计算公钥：y = g 。m o d p ： b o b 公丌y 。g ，p 。 2 签名阶段 f 1 ) a